[보안뉴스 / 8.22.] 보안 봇 회피하는 라쿤 스틸러 판매 정황 발견… 암호화폐 지갑 정보 등 탈취

악성코드와 함께 판매하는 관리자 패널에 검색 기능 추가돼 공격자가 원하는 정보 검색도

[보안뉴스 김영명 기자] 수백만명의 개인정보를 탈취한 악명 높은 정보 탈취 멀웨어인 라쿤(Raccoon) 스틸러가 다크웹 포럼에서 판매 중인 정황이 발견됐다.

▲라쿤 스틸러 운영자가 다크웹 포럼에 게시한 글[자료=잉카인터넷]

보안기업 잉카인터넷에 따르면 라쿤 스틸러는 감염된 시스템의 자격증명과 암호화폐 지갑 정보 등을 탈취해 %Temp% 경로에서 취합한 후 공격자의 C&C 서버로 전송한다. 이스라엘의 보안 업체 사이버인트(CyberInt)가 분석한 결과를 바탕으로 한 리포트를 인용한 잉카인터넷은 악성코드와 함께 판매하는 관리자 패널에 검색 기능이 추가돼 공격자가 탈취한 데이터에서 원하는 정보를 검색할 수 있다고 전했다.

또한, 라쿤 스틸러는 접속 중인 사용자의 활동 패턴을 분석해 비정상적인 행위를 하거나 봇으로 추정되는 경우 자동으로 해당 IP를 차단하고 활동 내역을 삭제한다. 라쿤 스틸러 악성코드 제작자는 다크웹 포럼에서 악성코드를 서비스 형태(Malware-as-a-Service, MaaS)로 판매하고 있으며, 판매가 중단된 AZORult 악성코드의 대체용으로 사용된다고 알려졌다.

잉카인터넷 관계자는 “이번 라쿤 스틸러는 보안 업체에서 사용하는 크롤러 및 봇의 IP도 따로 수집해 접속을 차단하는 시스템이 추가됐다. 또한, 사이버인트의 분석으로는 보안 도구를 사용한 탐지가 어려워 시스템 및 이메일 보안을 강화할 것을 권고했다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>