새롭게 나타난 ‘마사드 클리퍼 앤 스틸러’...각종 정보 훔치고 암호화폐 빼돌려
다양한 정상 앱으로 포장되어 있어...사용자들 많은 포럼에서 빠르게 퍼지는 중

[보안뉴스 문가용 기자] 새로운 스파이웨어가 나타났다. 텔레그램(Telegram)을 C&C로 활용하며 이름은 마사드 클리퍼 앤 스틸러(Masad Clipper and Stealer)다. 윈도우와 안드로이드 장비들로부터 정보를 수집하는 것을 주로 하되, 그 외 다른 악성 기능들도 고루 갖추고 있다고 한다.


마사드 클리퍼 앤 스틸러(이하 마사드)를 제일 처음 발견하고 분석한 보안 업체 주니퍼(Juniper)에 의하면 “마사드는 예전에 악명을 떨쳤던 쿨랍 스틸러(Qulab Stealer)로부터 파생했을 가능성이 높다”고 한다. 또한 피해자로부터 수집한 정보를 텔레그램 봇으로 전송하는 독특한 특징이 가장 눈에 띈다고도 설명한다. “텔레그램 봇을 C&C 서버로 활용하는 건 흔히 볼 수 없는 현상입니다.”

C&C와의 연결을 위해 마사드는 먼저 하드코드 된 봇 토큰을 사용해 getMe 메시지를 전송한다. C&C용 봇이 활성화되어 있는지를 확인하기 위해서다. 그런 후 마사드는 여러 가지 정보를 수집해 ZIP 폴더에 모아놓는다. 이 때 7zip이라는 유틸리티 툴을 사용한다. 7zip은 멀웨어 바이너리 내에 번들링 되어 있다. “그런 후에는 sendDocument라는 API를 사용해 ZIP 폴더를 전송합니다.”

한편 getMe 메시지를 받은 텔레그램 봇은, 활성화 되어 있는 상태라면, 봇의 사용자 이름이 포함된 ‘사용자 객체(user object)’를 전송한다. “이 사용자 이름 정보 덕분에 공격자들은 정확한 C&C 서버를 식별할 수 있게 됩니다. 마사드는 다크웹에서 상품으로 대여되는 것이기 때문에 여러 사람이 사용하며, 따라서 이러한 식별 기능은 필수 요소입니다.” 제니퍼의 설명이다.

주니퍼는 마사드의 샘플을 약 1천여 개 확보하는 데 성공했는데, 이 샘플들과 연결된 C&C 봇은 무려 338개나 되었다. 최소 338개의 독자적인 공격이 진행되고 있었다는 뜻이다. “이 캠페인이 전부 다른 조직들에 의해 진행되는 것이라면, 최소 338개의 단체들이 마사드를 활용하고 있다고 볼 수 있습니다.” 게다가 마사드 개발자들은 AS와 같은 서비스 지원을 위해 텔레그램 그룹도 개설한 상태라고 한다. 이 그룹에는 약 300명의 회원들이 가입했다.

마사드를 통해 탈취되는 정보는 1) 사용자 이름, 2) 비밀번호, 3) 연락처 정보, 4) 신용카드 정보, 5) PC 및 시스템 정보, 6) 설치된 소프트웨어와 진행되고 있는 프로세스, 7) 데스크톱 파일, 8) 스크린샷, 9) 브라우저 쿠키, 10) 스팀(Steam) 플랫폼 파일, 11) 디스코드(Discord) 및 텔레그램 메시지, 12) 파일질라(FileZilla) 파일 등이다.

이러한 정찰 기능 외에도 암호화폐 지갑 주소를 바꿔치기하는 기능도 가지고 있는 것으로 나타났다. 사용자가 클립보드에 저장해둔 주소를 공격자가 자신의 것으로 바꾸는 것인데, 이 때문에 피해자는 잘못된 주소로 송금할 위험에 처하게 된다. “일부 공격에서는 암호화폐 채굴 코드가 직접 피해자의 시스템에 심기는 경우도 있었습니다.” 공격자들이 노리는 코인은 비트코인, 도지코인, 라이트코인, 모네로, 네오 등인 것으로 나타났다.

그렇다면 이 마사드는 피해자들의 시스템에 어떻게 설치될까? “공격자들은 주로 두 가지 방법이 활용합니다. 정상 툴인 것처럼 위장하거나, 서드파티 툴 번들에 포함시키는 것입니다. 주로 프록시스위처(ProxySwitcher), 씨클리너(CCleaner), 유틸맨(Utilman), 넷시(Netsh), 후앰아이(Whoami) 등으로 둔갑한 경우가 많았습니다. 심지어 프록소 붓스트래퍼(Proxo Bootstrapper)라는 멀웨어로 위장된 것도 있었습니다.”

또 다른 경우, 포트나이트(Fortnite)라는 유명 게임의 해킹 툴인 것처럼 포장되기도 했었다. 삼성 갤럭시 핸드폰의 펌웨어 업데이트인 것처럼 보이게 만들어지기도 했다. “공격자들은 사용자들이 많이 드나드는 각종 포럼에서 이렇게 거짓말로 포장된 파일을 홍보하고 있었습니다. 사용자들이 이걸 퍼나르면서 멀웨어는 급격히 퍼져가고 있습니다.”

다크웹에서 마사드는 무료 ‘맛 보기’ 버전으로 퍼져가고 있으며, 최고 비싼 버전은 85달러 정도에 거래된다. “마사드 개발자들은 고객들에게 무료 버전을 먼저 제공하고, 이를 보다 적극적으로 활용하고 싶은 고객들에게 유료 버전을 제안하는 식으로 사업을 하고 있습니다. 가격별로 서로 다른 기능성을 가지고 있습니다.”

3줄 요약
1. 텔레그램을 C&C로 활용하는 독특한 스파이웨어 등장.
2. 각종 정보를 훔쳐내는 것 외에 암호화폐를 훔치거나 채굴하기도 함.
3. 약 300개의 사이버 범죄 단체가 동시에 사용하는 중. 대단위로 퍼져가고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>