• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보 탈취형 멀웨어 아케인 스틸러 5, 이용성 높고 가격은 낮고 2019.10.01

러시아어를 구사하는 듯한 익명의 해커...초보용 해킹 툴 만들어 판매 중
이미 크랙된 버전 돌아다녀...소스코드 판매되기 때문에 다른 버전 증식할지도

[보안뉴스 문가용 기자] 다목적 정보 탈취형 멀웨어가 다크웹의 틈새시장을 노리고 등장했다. 이 멀웨어의 이름은 아케인 스틸러 5(Arcane Stealer V)로, 해킹 실력이 낮은 사이버 범죄자들을 위한 이상적인 도구라고 한다. 가격도 9달러로, 꽤나 “착한 편”이라고 한다. 보안 업체 피델리스(Fidelis)가 발견했다.

[이미지 = iclickart]


아케인 스틸러 5의 기능은 다음과 같다.
1) OS 정보 탈취
2) 브라우저 정보 탈취
3) 암호화폐 지갑 정보 탈취
4) 텔레그램, 디스코드, 피진 등의 메시지 세션 탈취
5) 브라우저로부터 비밀번호, 쿠키, 양식 탈취(크롬, 오페라, 코메타, 오비텀, 코모도, 아미고, 토치, 얀덱스)
6) 워드 및 텍스트 문서 파일 탈취
7) 스팀 게이밍 커뮤니티 데이터 탈취
8) 가상 기계 IP 주소 탈취
9) 파일질라(FileZilla) 서버에서 데이터 탈취

아케인 스틸러 5(이하 아케인)가 초보 해커들이 사용하기에 특화되어 있는 건 저렴한 가격 때문만은 아니다. “사용하기 쉽도록 만들어진 그래픽 인터페이스(GUI)와 대시보드와, 텔레그램을 통한 기술 지원 채널을 제공하고 있습니다. 심지어 잠재적 구매자들을 설득하기 위한 각종 보고서까지도 제공됩니다. 어떤 공격으로 어느 정도의 수익을 거둘 수 있는지 알려주는 통계자료로 가득한 보고서입니다.” 이 보고서에 의하면 아케인은 특정 표적을 염두에 둔 공격 도구가 아니라, 무차별적으로 살포하는 유형의 해킹 툴이라고 한다. 실제 아케인에는 지오펜싱이나 언어 설정 기능이 없다.

아케인은 실행과 동시에 데이터를 수집하고, 스크린샷을 모으고, 자신이 모은 데이터를 텍스트 로그 파일 내에 목록화 한다. 또한 하드웨어 ID를 생성해 폴더 이름과 집 폴더 이름으로 사용한다. 이 폴더들에는 수집된 정보가 저장되며, 내용물은 전부 C&C 서버로 전송된다. 이렇게 정보를 모두 빼돌리면, 휴면 상태로 들어간다.

아케인의 개발자는 텔레그램과 트위터에서 다양한 계정 이름을 가지고 활동 중에 있다.
1) @arcanee_bot
2) @es3n1n
3) @SakariHack
이 계정들은 러시아어를 구사하는 해커들과 멀웨어의 빌드와 배포에 대한 이야기를 나누는 데 사용된다. 같은 ID를 스팀(Steam) 게임 커뮤니티에서도 찾아냈는데, 프로파일에 의하면 21세의 청년이며 뇌전증을 앓고 있다고 한다.

피델리스의 발표 내용에 의하면 아케인 배후에 있는 자는 “모국어가 러시아어인 것으로 보이지만, 실제로 현재 러시아에 거주 중이라고 확신하기는 어렵다”고 한다. “아케인은 특정 지역이나 단체, 혹은 언어권을 표적으로 삼고 있지 않습니다. 러시아 공격자들은 자신들이 거주하는 러시아 지역에 대해서 공격이 성립되지 않도록 하는 게 보통인데, 이번에는 그런 노력이 보이지 않았습니다.”

현재 아케인은 아케인 전용 웹사이트는 물론 다크웹의 롤즈팀(Lolzteam) 사이트에서 거래되고 있는 중이다. 그러나 사업성에 대해서는 여러 모로 의문이 생긴다. 왜냐하면 이미 크래킹 된 버전이 다양한 커뮤니티와 플랫폼을 돌아다니고 있기 때문이다. 멀웨어의 해적판이 이미 시장에 나왔다는 뜻이다.

또한 피델리스는 아케인이 그리 큰 인기를 누리지 못할 것이라고 예측한다. “네트워크 내부에서 이동이 쉽도록 만들어주는 기능도 없고, 자가 증식 기능도 없으며, 파일을 삭제하거나 암호화 하는 파괴적인 기능도 없습니다. 확신하기는 어렵지만, 해커들 사이에서 그리 인기가 높을 것 같지 않습니다.”

그렇다고 안심하기에는 이르다. 판매자들이 소스코드를 같이 판매하기 때문이다. “사용자들은 완성된 멀웨어만이 아니라 소스코드를 구매할 수도 있습니다. 해커들 사이에서 소스코드가 풀릴 때 어떻게 됩니까? 수많은 변종들이 빠르게 태어납니다. 곧 독특한 버전의 아케인들이 여기저기서 나타날 수도 있습니다.”

3줄 요약
1. 각종 정보 탈취하는, 초보자 해커용 멀웨어 등장.
2. 가격도 낮고, 그래픽 인터페이스 갖춰 사용도 쉬우며, 기술 지원도 해줌.
3. 그러나 결정적인 기능 한 방이 부족. 인기 높지 않을 수도.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>