10달러 이하 또는 무료로 Fortune 100 기업에 접근할 수 있다고 상상해보세요. 무서운 생각 아니겠습니까? 아니면 사이버 보안 장벽의 어느 쪽에 있는지에 따라 신나는 생각일 수도 있습니다. 글쎄요, 기본적으로 오늘날의 상황입니다. 낮게 매달린 과일의 정보 도둑 정원에 오신 것을 환영합니다.
지난 몇 년 동안 이 문제는 점점 더 커졌고, 이제서야 우리는 그 모든 파괴적 잠재력을 천천히 배우고 있습니다. 이 글에서는 사이버범죄 생태계 전체가 어떻게 작동하는지, 다양한 위협 행위자가 그로부터 유래된 데이터를 어떻게 악용하는지, 그리고 가장 중요한 것은 이에 대해 무엇을 할 수 있는지에 대해 설명하겠습니다.
인포스틸러 맬웨어가 실제로 무엇인지부터 시작해 봅시다. 이름에서 알 수 있듯이, 데이터를 훔치는 맬웨어입니다.
구체적인 유형에 따라 추출하는 정보는 약간 다를 수 있지만 대부분은 다음을 추출하려고 시도합니다.
- 암호화폐 지갑
- 은행 계좌 정보 및 저장된 신용 카드 세부 정보
- 다양한 앱에서 저장된 비밀번호
- 검색 기록
- 브라우저의 쿠키
- 다운로드한 파일 목록
- 사용된 운영체제에 대한 정보
- 데스크탑의 스크린샷
- 파일 시스템에서 가져온 문서
- Telegram 및 VPN 앱에 대한 자격 증명
 |
| infostealer 로그 패키지의 예 |
그리고 시간이 지남에 따라 맬웨어 개발자가 추가 기능을 추가함에 따라 점점 더 많은 것들이 생깁니다. 상상할 수 있듯이, 이런 종류의 정보가 모든 사람이 볼 수 있도록 인터넷에 유출되는 것을 원하지 않습니다. 또한 조직의 내부 시스템에 대한 자격 증명이 이런 식으로 손상되는 것을 원하지도 않습니다. 그러나 바로 이것이 매일 수천 명의 사용자에게 일어나는 일입니다.
인포스틸러 맬웨어를 퍼뜨리려면 특별히 기술에 정통할 필요는 없고, 다른 위협 행위자가 훔친 귀중한 데이터를 얻으려면 부자가 될 필요도 없습니다. 전체 생태계가 어떻게 작동하는지 살펴보겠습니다.
당신도 사이버 범죄자가 될 수 있습니다!
인터넷의 어두운 면에 계속되는 추세는 전문화입니다. 과거에는 한 개인이나 그룹이 전체 프로세스를 처리하는 것이 더 일반적이었지만, 요즘에는 여러 경쟁 위협 행위자가 회사 자산으로 가는 길을 닦습니다. 이러한 행위자는 “산업”의 한 부분만 전문으로 하며 진정한 자유 시장 정신으로 기꺼이 비용을 지불할 의향이 있는 사람에게 서비스를 제공합니다.
“옛 방식”의 한 예는 유명한 제우스 뱅킹 맬웨어일 수 있습니다. 그것은 같은 그룹의 사람들에 의해 개발되고 퍼졌습니다. 도난당한 데이터도 그들에 의해 악용되었고, 이 범죄 기업의 모든 수익은 그들에게 돌아갔습니다. 사소한 사이버 범죄자인 당신이 그들의 결과로 돈을 벌거나 맬웨어 자체를 사서 스스로 퍼뜨릴 수 있는 방법은 없었습니다.
글쎄요, 시장은 진화했습니다. 여전히 완전히 독립적으로 활동하는 행위자들이 있지만, 다른 사람의 데이터를 훔치는 세계에 진입하기 위한 기준은 훨씬 낮습니다. 개인으로서도 사이버 범죄 스타트업 산업의 대열에 합류할 수 있습니다. 현재 다음과 같은 직책이 열려 있습니다.
 |
| 위에 언급된 패키지에 포함된 데스크탑의 스크린샷 |
드로퍼 임플란트 개발자 / 설치 판매자
여러분은 “업계”의 나머지가 종종 의존하는 작지만 중요한 소프트웨어, 즉 맬웨어 드로퍼 또는 선호하는 말로는 로더의 개발을 담당하게 됩니다.
Infostealer 맬웨어 파일 자체는 다양한 기능을 포함하고 있기 때문에 다소 큰 편이지만, 맬웨어 드로퍼의 목표는 단 하나입니다. 바이러스 백신 프로그램을 우회하여 다른 공격자가 장치에 악성 코드를 다운로드할 수 있는 방법을 만드는 것입니다.
이러한 드로퍼의 예로는 2011년부터 운영되고 오늘날에도 여전히 새로운 기능을 추가하고 있는 Smoke Loader가 있습니다. 드로퍼/로더 개발자는 소프트웨어로 얻은 액세스를 직접 악용하거나 다양한 다크넷 포럼을 통해 다른 사람에게 재판매하거나 둘 다 합니다. 다크넷 용어로 감염된 컴퓨터를 “설치”라고 하며, 이를 통해 자신의 맬웨어(인포스티얼러, 암호화폐 채굴자 또는 기타 악성 코드)를 퍼뜨릴 수 있는 방법을 제공한다고 주장하는 많은 “설치 서비스”가 있습니다. 일반적으로 그들은 “설치”를 오직 당신에게만 판매한다고 확신시킬 것이지만, 우리의 경험에 따르면 “설치 서비스” 운영자가 최대한 수익을 창출하려고 하기 때문에 그렇지 않은 경우가 많습니다.
 |
| 설치키 드로퍼 서비스 |
그러한 서비스 중 하나인 InstallsKey는 감염된(자체 드롭퍼 포함) 컴퓨터를 지역에 따라 1달러에서 10달러 이하로 판매합니다. 정확히 말해서 엄청 싸지는 않지만, 무엇을 해야 할지 안다면 “투자”를 꽤 빨리 회수할 수 있을 것입니다.
Infostealer 맬웨어 개발자
“산업”의 엔진. 프로그래밍에 대한 수년간의 경험과 가급적 Windows OS가 작동하는 방식에 대한 좋은 지식이 필요합니다. 위에서 설명한 것과 같이 종종 일종의 드로퍼를 통해 로드되는 Infostealer 맬웨어는 모든 종류의 잠재적으로 가치 있는 정보를 추출하여 어떤 형태의 통신 채널을 통해 공격자에게 이를 포함하는 패키지를 보냅니다.
상업적으로 판매되는 infostealer 맬웨어의 비포괄적인 목록은 다음과 같습니다.
- RedLine(오래되었지만 일부에서는 여전히 사용 중)
- META Stealer(RedLine의 업데이트된 포크)
- 루마C2
- 라다만티스
- 더 나아가
- 너구리 도둑 (원작자는 체포되었지만 아직 사용 중)
- 라이즈프로
- 스틸씨
- 몬스터 스틸러
그리고 그 외에도 많은 다른 것들이 있습니다. 구독 가격은 한 달에 수십 달러에서 수백 달러까지 다양합니다.
 |
| 러시아어 다크넷 포럼에서 서비스를 제공하는 LummaC2 스틸러 |
일반적으로, 당신은 당신의 필요에 맞는 .exe 파일을 만들 수 있는 “빌더” 애플리케이션을 받게 될 것이고, 종종 대부분의 일반적인 AV 솔루션을 우회하여(따라서 드로퍼가 제공하는 기능을 부분적으로 커버합니다). 유형에 따라, 당신은 웹 패널(자체 호스팅 또는 당신에게 제공됨) 또는 Telegram을 통해 피해자의 데이터를 받게 될 것입니다.
 |
| META 스틸러 크랙 버전 무료로 이용 가능 |
개발자 암호화
몇 잔의 맥주 값으로 바이러스 백신을 우회할 수 있나요? 문제 없습니다. 크립터 개발자가 그렇게 할 수 있도록 허용하므로, 당신은… 글쎄요, 당신이 하고 있는 일에 집중할 수 있습니다.
 |
| 자동화된 암호화 서비스의 예 |
크립터는 대부분의 일반적인 AV 솔루션이 알아차리지 못하는 방식으로 매우 사악한 .exe 파일을 압축하는 코드 조각입니다. 드로퍼와 인포스틸러는 때때로 이미 어떤 종류의 AV 우회를 포함하지만 크립터는 추가 계층을 추가하여 훨씬 더 사악한 결과를 얻을 수 있습니다.
트래퍼 팀
대량으로 정보 도용자를 퍼뜨리는 것은 혼자 해커에게는 어려운 일이므로, 비슷한 생각을 가진 다른 사람들과 팀을 이루는 것이 좋습니다! 그게 바로 트래퍼 팀(traffer team)의 역할입니다. 포럼과 (부분적으로 자동화된) 텔레그램 채널/봇을 통해 조직하면, 어도비 크랙이나 무료 포트나이트 스킨을 찾는 의심치 않는 인터넷 사용자를 감염시키는 턴키 솔루션을 제공합니다. 훔치는 암호화폐의 일정 비율로, 감지할 수 없는 도용자부터 종종 퍼뜨리는 데 사용되는 가짜 YouTube 튜토리얼을 만드는 방법에 대한 매뉴얼까지 필요한 모든 것을 제공합니다.
트래퍼 팀 매니저
당신은 사람을 잘 사귀는 사람인가요? 그렇다면 트래퍼 팀 관리자로서의 경력을 고려해 볼 수 있습니다. 원하는 크립터/인포스틸러 맬웨어를 붙이고 새로운 근로자를 탑승시킬 친절한 텔레그램 봇을 만들어야 합니다. 경쟁이 있으므로 홍보에 주력하고 근로자에게 다른 곳보다 더 큰 몫을 주는 것이 좋습니다. 그래도 충분한 사람을 설득해 당신을 위해 일하게 한다면 꽤 좋은 거래입니다.
 |
| 러시아어 다크넷 포럼에서 자신의 상황을 설명하는 Traffer 팀 운영자 |
트래퍼 팀 스프레더
완벽한 입문 레벨 직책입니다. 새로운 것을 배우고 도덕적 장벽이 없다면요.
가장 좋은 조건을 갖춘 트래퍼 팀을 선택하고 Telegram 봇을 사용하여 탑승하면 준비가 완료됩니다. 귀하의 작업은 주로 가짜 YouTube 튜토리얼이나 사기 페이지를 만드는 것으로 구성되며, 이는 트래퍼 팀이 제공한 infostealer 맬웨어 빌드를 다운로드하도록 피해자를 설득합니다.
 |
| Traffer 팀 Telegram 봇은 정보 탈취범을 유포하는 데 사용되는 준비된 악성 파일을 “작업자”에게 제공합니다. |
선택한 팀에 따라, 훔친 암호화폐의 최대 90%를 받을 수 있으며, 보너스로 때로는 로그 자체(관리자가 인기 있는 수익화 방법을 “해결한” 후)도 받을 수 있습니다. 다른 덜 일반적인 수익화 방법을 시도하거나, 그냥 다시 판매하거나, 무료로 공유하여 사악한 동료들의 존경을 받을 수 있습니다.
로그 클라우드 운영자
공개 소스에서 로그를 얻어 “고유”, “비공개” 및 나만의 로그로 제시합니다. 이익. 이것이 보통의 작동 방식입니다. Log Cloud는 매일 다소 “신선한” 로그 스트림을 제공하는 서비스입니다(물론 유료). 보통 Telegram 채널 또는 지속적으로 업데이트되는 MEGA.nz 저장소의 형태로 제공됩니다.
 |
| Telegram의 로그 클라우드 채널은 (대부분) 다른 준공개 소스에서 수집한 수백만 개의 스틸러 로그를 제공합니다. |
이러한 로그는 일반적으로 여러 손을 거쳤으며 가장 인기 있는 요청에 대해 “작업”되었지만, 찾고 있는 것이 무엇인지 알고 있다면 여전히 황금 알을 담고 있을 수 있습니다(이를 “고유 요청”이라고도 함).
HackedList.io는 수백 개의 Telegram 채널을 자동으로 모니터링합니다. 관찰된 중복률은 다소 높습니다.
양보다 질이 중요하지만, 양에도 강점이 있습니다. 일부 로그 클라우드는 수년에 걸쳐 테라바이트 규모의 데이터를 축적했습니다.
url:log:pass 리셀러
압축된 로그의 테라바이트는 더 많은 테라바이트의 원자재를 의미합니다. 그리고 여러분이 찾고 있는 것이 액세스하려는 특정 사이트의 사용자 이름과 비밀번호 한 쌍뿐이라면 전체 로그 패키지도 필요하지 않습니다. 그래서 “시장”의 별도 세그먼트가 진화했습니다. 표준 로그 패키지에서 생성된 URL:login:password 형식의 .txt 파일 리셀러입니다. 테라바이트 대신 지금은 기가바이트에 불과하며 grep과 같은 표준 유틸리티를 사용하여 쉽게 검색할 수 있습니다.
 |
| url:log:pass 서비스 광고의 예 |
그렇지 않으면 url:log:pass 리셀러는 로그 클라우드 운영자와 정확히 같은 방식으로 운영되지만, 저장하고 처리해야 하는 데이터가 적습니다. 웹사이트와 Telegram 봇 형태의 다른 서비스가 존재하여 이를 검색할 수 있으므로 grep을 사용하는 방법이나 이러한 종류의 로그를 어디에서 얻을 수 있는지 알 필요조차 없습니다.
 |
| 자동화된 url:log:pass Telegram의 리셀러 봇 |
자동화된 시장 운영자
진정으로 독특하고 개인적인 로그를 원하시나요? 자동화된 로그 마켓 웹사이트를 방문하세요! 훨씬 더 비쌀 것입니다(네, 로그 클라우드 오퍼는 사실이 아닐 정도로 좋습니다). 하지만 로그를 처음으로(글쎄요, 두 번째나 세 번째지만 그래도 공평합니다) 가질 기회가 있습니다.
 |
| 현재 인포스틸러 로그를 얻을 수 있는 가장 큰 자동화된 다크넷 마켓플레이스인 러시안 마켓 |
10달러 이하로 위협 행위자는 이러한 플랫폼에서 모든 종류의 액세스를 얻을 수 있으며, 이러한 로그가 적어도 얼마 동안은 독점적으로 자신의 것이 된다는 이점이 있습니다. 과거에는 세 개의 주요 마켓플레이스가 동시에 운영되었습니다. Genesis.Market이 국제 법 집행 작전으로 폐쇄되고 2Easy 마켓플레이스 개발이 중단된 후, 주요 참여자는 악명 높은 러시아 마켓 하나만 남았습니다. 오늘(2024-07-13) 현재 판매 가능한 레코드가 7,266,780개이며, 알려지지 않았지만 확실히 많은 수의 로그가 이미 플랫폼에서 판매되었습니다.
초기 접근 브로커
로그 클라우드나 자동화된 마켓플레이스를 통해 제공되는 테라바이트 규모의 데이터에서 유효하고 가치 있는 정보를 찾는 것은 마치 건초더미에서 바늘을 찾는 것과 같습니다. 하지만 바늘을 찾는 데 성공한다면 엄청난 돈을 벌 수 있습니다. 바로 여기서 초기 액세스 브로커가 개입합니다. 그들은 인포스틸러 감염으로 얻은 (여전히) 유효한 자격 증명을 찾아 손상된 네트워크에 발판을 마련하는 데 사용합니다. 그런 다음 이를 지불할 의향이 있는 사람, 종종 랜섬웨어 갱단과 같은 위협 행위자에게 판매합니다.
잘 알려진 다크넷 포럼의 예는 다음과 같습니다.
HackedList.io를 간단히 확인해 보면 OWA 액세스는 정보 도난 침해에서 비롯된 것일 가능성이 가장 높습니다.
기회주의적 스크립트 키디
랜섬웨어 갱단, APT, 숙련된 초기 접근 브로커가 있고, 물론 스크립트 키디도 있습니다. 스크립트 키디는 지루해서 빨리 돈을 벌거나 인터넷에서 혼란을 일으킬 방법을 찾는 청소년입니다.
공개적으로(또는 저렴한 가격으로) 제공되는 infostealer 감염 데이터는 그들에게 거의 지식 없이도 많은 피해를 입힐 수 있는 훌륭한 도구를 제공합니다. 다른 사람이 이미 stealer를 작성했기 때문에 프로그래밍을 알 필요가 없습니다. 다른 사람이 이미 그것을 했기 때문에 그것을 퍼뜨리는 방법을 알 필요가 없습니다. 얻은 자격 증명을 수동으로 시도하여 작동하는지 확인할 필요조차 없습니다. 맞히셨겠지만, 다른 사람이 이미 당신을 위해 그것을 할 수 있는 도구를 만들었기 때문입니다. 그래서 당신은 쉽게 얻을 수 있는 과일을 따서 피해를 입힙니다.
 |
| Infostealer 로그에 포함된 자격 증명의 유효성을 확인하는 데 사용되는 도구의 예 |
그리고 아니요, Minecraft나 Discord 서버를 점령하는 것에 대해 이야기하는 것이 아닙니다. 16~21세의 청소년으로 구성된 해커 그룹인 LAPSUS$는 비디오 게임 출판사인 Electronic Arts에서 780기가바이트의 데이터를 훔쳤습니다. 같은 그룹이 외부 계약자의 침해된 계정을 통해 접근한 Uber 해킹의 배후에 있었습니다. 두 경우 모두 근본 원인은 infostealer 감염이었습니다.
요약
요약하자면, 멋진 다이어그램이 있습니다.
HackedList.io는 모든 종류에 중점을 둡니다. 통나무 딜러 그리고 다크넷 마켓플레이스를 통해 나쁜 놈으로 분류되기 전에 경고를 받을 수 있습니다. 공격자 위의 인포그래픽을 활용할 수 있습니다.
실제로 문제가 얼마나 큰가요? 그리고 무엇을 할 수 있나요?
다음은 몇 가지 통계입니다.
- 우리는 지난 4년 동안 총 45,758,943개의 감염된 장치를 감지했으며, 그 중 15,801,893개에는 누출에 적어도 하나의 자격 증명 세트가 포함되어 있었습니다.
- 총 553,066,255개의 URL/사용자 이름/비밀번호 조합을 식별했습니다.
- 우리는 183개국에서 감염된 장치를 감지했습니다.
- 평균적으로 우리는 다음을 식별합니다. 매일 10000명의 새로운 피해자 발생
 |
| (2월에는 오래된 데이터의 대량 유출이 발견되어 급증) |
나쁜 소식은 감염률이 너무 높기 때문에 조직이 이미 침해당했을 가능성이 크다는 점입니다. 조직이 클수록 그 가능성이 더 큽니다.
좋은 소식은, 이런 일이 일어나는지 무료로 확인할 수 있다는 것입니다. HackedList.io에 도메인을 입력하기만 하면 됩니다. 그리고 보호를 받고 싶다면, 저희는 그에 대한 해결책을 가지고 있습니다.
