최근, 데이터 탈취 공격에 악용할 수 있는 러스트 기반 소스코드가 해킹 포럼에서 무료로 배포되어 긴장감이 고조되고 있다. 보안 전문 기업 싸이블(Cyble) 연구팀을 인용, ‘루카 스틸러(Luca Stealer)’라는 이름의 해당 멜웨어를 악용한 공격이 이미 여러 차례 보고되었다고 경고했다.
사이버 보안 전문 매체 블리핑컴퓨터는 해당 멀웨어 유포 세력이 6시간 만에 루카 스틸러 개발을 완료했다고 주장한 사실을 관측했다. 더 심각한 점은 루카 스틸러 탐지율이 약 22%로, 잠재적 피해 발생 우려가 매우 크다는 사실이다.
루카 스틸러의 소스코드는 크로스 플랫폼 언어인 러스트로 작성돼, 사이버 공격자들이 다양한 운영체제를 공격할 수 있다. 하지만 현재 배포된 버전은 윈도우 운영체제만 공격한다.
루카 스틸러가 실행되면, 약 30개의 크롬 기반 웹 브라우저에서 데이터 탈취 공격을 시도한다. 주로 주로 신용 카드 정보, 로그인 정보, 쿠키 등을 수집한다. 콜드 암호화폐 지갑과 브라우저 애드온 핫월렛, 스팀 계정, 디스코드 토큰, 유비소프트 플레이 등도 탈취 대상이 되었다.
루카 스틸러는 기존의 다수 악성코드와는 달리 패스워드 매니저 브라우저 애드온을 집중 공격하여 약 17개 애플리케이션의 데이터를 손에 넣는다. 애플리케이션 공격 외에도 스크린샷을 png 파일로 저장하여 사용자 이름을 출력하는 “whoami” 명령어를 실행하여 호스트 프로필을 추출하여 공격자에게 전달하기도 한다.
해커 세력은 탈취 데이터를 디스코드 웹훅(Discord Webhook)이나 텔레그램 봇을 이용하여 외부로 유출한다. 외부 공유 수단은 데이터 크기에 따라 달라질 수 있다. 파일 크기가 50MB를 넘는다면, 디스코드 웹훅을 이용하여 데이터를 내보낸다.
데이터는 ZIP 아카이브로 전송된다. 데이터 내역의 요약본도 공유 파일에 포함돼, 공격자가 한눈에 훔친 데이터 정보를 확인할 수 있다.
싸이블 관게자는 루카 스틸러를 악용한 피해 사례를 총 25건 확인했으며, 추가 피해 사례 보고 가능성을 가늠하기 어렵다고 전했다. 다만, 월 구독료를 받고 소스코드를 판매하는 대다수 멀웨어와 달리 루카 스틸러는 무료로 배포되었기 때문에 피해 사례가 적지 않을 것으로 보인다.
또한 루카 스틸는 러스트로 작성되었기 때문에 리눅스나 맥OS를 공격하도록 수정하는 작업이 어렵지 않았다는 점도 추기 피해 사례 발생 여부의 변수가 될 것으로 보인다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
