고도화 된 피싱 및 사기 전략을 가지고 수십만 사용자들의 암호화폐 지갑을 싹 비워낸 캠페인이 2023년 한 해 동안 활발히 진행됐다. 공격자들은 구독형 사업을 통해 이 공격의 파괴력을 한층 더 높이기도 했다.

[보안뉴스 문가용 기자] 고도화 된 피싱 캠페인이 발견됐다. 암호화폐 지갑을 비워낸 뒤 사라지는 신출귀몰한 캠페인으로, 이름은 인페르노드레이너(Inferno Drainer)다. 지난 1년 동안 13만 7천여 명의 피해자들로부터 8천만 달러의 암호화폐를 훔쳐낸 것으로 조사됐다. 공격자들은 100개가 넘는 암호화폐 브랜드를 사칭하며 피해자를 양산해 왔던 것으로 밝혀졌다.


보안 업체 그룹IB(Group-IB)에 의하면 공격자들은 1만 6천 개가 넘는 고유 도메인을 활용해 가짜 피싱 페이지들을 만들어 피해자들을 속여왔다고 한다. 캠페인이 진행된 것은 2022년 11월부터 2023년 11월까지라고 하며, 현재는 중단된 상황이다. 2023년 한 해 동안 암호화폐 분야에서 가장 많은 피해를 일으킨 것이 바로 이 인페르노드레이너인 것으로 조사됐는데, 이는 공격자들이 공격 대행 서비스 사업까지 병행했기 때문인 것으로 보인다.

또한 그룹IB는 “지금은 이 인페르노드레이너의 활동이 멈춘 게 사실이지만, 그렇더라도 2023년 한 해 동안 피해자의 지갑을 비워내는 유형의 공격이 얼마나 효과적인지를 충분히 보여주었기 때문에 앞으로 유사 멀웨어를 이용한 공격이 더 유행할 수 있다고 봐야 한다”고 지적한다. “다크웹의 해커들은 성공 사례를 신봉하다시피 하며 좇습니다. 인페르노드레이너는 거대한 성공 사례입니다. 모방하려는 사람들이 2024년에 줄을 설 것이 분명합니다. 그러면 방어하는 입장에서도 이 성공 사례를 분석해야 마땅하겠죠.”

인페르노드레이너 캠페인, 어떻게 진행됐나
인페르도드레이너가 진행되는 동안 공격자들은 크게 두 가지 브랜드 사칭 전략을 활용했다.

1) 코인베이스(Coinbase), 시포트(Seaport), 월렛커넥트(WalletConnect)와 같은 유명 브랜드가 운영하는 것과 똑같은 웹사이트를 만들어 피해자들을 꼬드겼다. 이리로 접속하는 사람들은 의심 없이 자신들의 지갑을 공격자들의 인프라에 연결시켰고, 이를 통해 공격자들은 지갑 속 자산을 훔쳐갈 수 있었다. 이 공격에 사용됐던 악성 스크립트들은 깃허브를 통해 공개되어 있어 모방 공격이 활성화 될 가능성이 높다.

2) 공격자들은 자신들이 마련한 가짜 악성 웹사이트를 여러 소셜미디어에서 홍보하기까지 했다. 엑스, 디스코드 등에서 특히 홍보에 집중하는 모습을 보였다. 암호화폐를 에어드롭으로 보내준다거나, NFT를 직접 제작할 수 있다거나, 사이버 공격으로 발생한 피해는 전부 보상해준다거나 하는 내용으로 광고해 많은 이들을 속일 수 있었다.

구독형 사기 서비스
인페르노드레이너 캠페인에서 주목해야 할 점은 단 하나의 공격 단체가 처음부터 끝까지 모든 것을 진두지휘한 것이 아니라는 것이다. 여기에는 수많은 공격 단체들이 관여되어 있었다. “공격자들은 자신들의 캠페인에 참여할 사람들을 텔레그램에서 활발히 모집했습니다. 최초 게시글이 올라온 게 2022년 11월 5일이었습니다. 참여한 자들은 고객용 패널에 대한 접근 권한을 받았고, 여기서 여러 기능을 커스터마이징 할 수 있었습니다. 그리고 필요에 맞게 공격을 독립적으로 실행할 수 있었죠.”

이 패널은 12월 첫 주까지도 살아 있었다고 한다. “패널을 통해 멀웨어를 이리저리 조정한 후 공격을 실시해 성공했을 때, 참여자들은 인페르노드레이노 개발자 측에 일정한 비율로 돈을 냈습니다. 주로 20% 선에서 계약이 이뤄졌던 것으로 보입니다. 이런 식의 계약에 수많은 해킹 조직들이 참여한 것으로 보이고, 따라서 인페르노드레이너의 활동량은 급증할 수밖에 없었습니다.”

드레이너의 drain은 ‘빼내다’, ‘말리다’라는 뜻을 가진 단어로, drainer는 ‘빼내는 것’ 혹은 ‘말리는 것’이라는 뜻이 된다. 즉 드레이너 멀웨어는 지갑 내 저장된 자산을 빼내서 말리는 기능을 가진 멀웨어라고 할 수 있다. 그룹IB는 “랜섬웨어나 정보 탈취형 멀웨어들은 이미 ‘구독형’으로 다크웹에서 활발히 제공되고 있다”며 “이제는 드레이너 멀웨어들도 이런 식으로 발전하는 모양”이라고 짚는다.

그렇기 때문에 암호화폐 거래소에 대한 광고를 보고 클릭할 때나 특정 암호화폐 관련 웹 페이지에 접속해 들어갈 때 항상 여러 번 확인해야 한다고 그룹IB는 권한다. “암호화폐 생태계는 아직 위험 부담이 작다고 할 수 없는 환경입니다. 사기, 자금 세탁, 불법 자금 축재 등의 범죄도 매우 쉽죠. 중앙에서의 보호 장치는 희박하고요. 그래서 이 영역에서 투자 활동을 하고 싶다면 개개인이 조심하는 수밖에 없습니다. 그렇지 않으면 암호화폐를 노리는 온갖 유형의 공격에 노출됩니다.”

3줄 요약
1. 작년 한 해 80만 달러의 돈을 가로채고 지금은 사라진 암호화폐 사기 서비스.
2. 고도화 된 피싱 전략으로 13만 명 넘는 피해자의 지갑을 비워냄.
3. 드레이너라는 유형의 멀웨어, 곧 유행할 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>