사이버 보안 기업인 말웨어바이츠(Malwarebytes)가 최근 '크랙'된 트레이딩뷰 프리미엄 버전 안에 숨어 있는 새로운 형태의 암호화폐 탈취 악성코드에 대해 경고하고 나섰다. 트레이딩뷰는 금융 시장을 위한 차트 도구를 제공하는 소프트웨어로, 해커들은 이 프로그램을 무료로 제공한다고 주장하며 암호화폐 사용자들을 alvo로 삼고 있다. 악성코드가 내장된 '트레이딩뷰 프리미엄 크랙'의 윈도우와 맥 설치 파일 링크가 암호화폐 관련 서브레딧에 게시되고 있다.

말웨어바이츠의 수석 보안 연구원인 제롬 세구라(Jerome Segura)는 블로그 포스트에서 이와 같은 사기가 암호화폐 사용자들의 개인정보를 빼내고 지갑을 비우는 데 목표를 두고 있다고 설명했다. 실제로 몇몇 피해자들은 자신의 암호화폐 지갑이 비워지고, 이후 범죄자들에 의해 상대방에게 피싱 링크가 발송되기도 했다. 이 악성코드에는 '루마 스틸러(Lumma Stealer)'와 '아토믹 스틸러(Atomic Stealer)'라는 두 가지 악성 프로그램이 포함되어 있다.

루마 스틸러는 주로 암호화폐 지갑과 이중 인증(2FA) 브라우저 확장을 겨냥하는 정보 탈취 프로그램으로, 2022년부터 존재해왔다. 반면, 아토믹 스틸러는 2023년 4월에 처음 발견되었으며, 관리자 비밀번호와 키체인 비밀번호 등 다양한 데이터를 캡처하는 능력이 있다.

사기꾼들은 사용자가 이러한 프로그램을 무료로 이용할 수 있도록 하는 대신, 실제로는 악성코드가 가득한 파일을 배포하고 있다. 제롬 세구라는 이 사기의 흥미로운 점은 범죄자가 사용자가 악성 소프트웨어를 다운로드하는 과정을 도와주고 문제를 해결해 주는 점이라고 밝혔다. 음성적 링크를 통해 사용자를 돕고, 문제를 해결해 주겠다고 성실하게 보이는 행동은 더 많은 사용자들을 유인하는 방법으로 사용된다.

이 악성코드의 출처는 명확하지 않지만, 말웨어바이츠는 해당 파일을 호스팅하는 웹사이트가 두바이의 청소 회사에 소속되어 있고, 악성코드 제어 서버는 불과 일주일 전에 러시아에서 등록된 것으로 확인했다고 밝혔다. 세구라는 크랙된 소프트웨어에서 악성코드가 포함되는 경우는 수십 년째 존재하고 있지만, 여전히 무료의 유혹은 강하게 작용한다고 말했다.

이런 종류의 사기를 방지하기 위해 사용자는 보안 소프트웨어를 비활성화하라는 지시나, 비밀번호로 보호된 파일 등 몇 가지 경고 신호를 주의 깊게 살펴봐야 한다. 세구라는 "이번 사건에서 파일은 두 번 압축되어 있으며, 마지막 압축 파일은 비밀번호로 보호되어 있다"며, "정상적인 실행 파일은 이런 방식으로 배포되지 않는다"고 설명했다.

사이버 범죄가 AI 기반의 사기, 스테이블코인 세탁, 효율적인 사이버 범죄 조직의 주도 아래 전문화된 시대에 접어들었다는 블록체인 분석 회사 체인얼리시스(Chainalysis)의 보고서에 따르면, 지난해에는 약 510억 달러 규모의 불법 거래가 이뤄진 것으로 추정된다. 사기와 관련된 새로운 형태의 위협이 이어지는 가운데, 사용자의 각별한 주의가 요구된다.


crossorigin="anonymous">