인디게임 사용자 노리는 크리덴셜 탈취 캠페인, “영리한 진화”
- 있지도 않은 인디게임을 유튜브와 디스코드로 광고
- 사실은 크리덴셜 수집하는 정보 탈취 멀웨어
- 미끼가 되는 게임은 전혀 개발하지 않아...오로지 마케팅만
인디게임 사용자들을 노리는 크리덴셜 탈취 캠페인이 발견됐다. 이 캠페인에 유튜브와 디스코드까지 악용됐다. 보안 업체 아크로니스(Acronis)의 분석가들이 공개한 것으로, 공격자들이 원하는 건 사용자들의 크리덴셜인 것으로 분석됐다.
공격자들은 먼저 인디게임들을 광고하기 시작한다. 바루다퀘스트(Baruda Quest)나 워스톰파이어(Warstorm Fire), 다이어탈론(Dire Talon) 등 세상에 없는데 이름만 그럴 듯한 것들이다. 광고는 유튜브나 디스코드 채널을 통해 진행되는데, 세부 내용 란에 설치 파일 링크가 걸려 있다.
게임에 흥미가 생긴 사용자가 링크를 누르면 설치파일이 다운로드 된다. 80MB 이상 파일인데, 게임 파일이기 때문에 이 용량이 이상한 건 아니다. 하지만 실제 사용자가 다운로드 받는 건 일렉트론(Electron) 기반 실행파일로, 이 안에는 공격 코드를 실행하는 데 필요한 노드(Node.js) 런타임이 숨겨져 있다.
다운로드가 완료되면 사용자 컴퓨터에 널소프트(Nullsoft) 패키지가 백그라운드에서 실행된다. 그러면 app.asar 아카이브가 추출된다. 이 안에는 정보 탈취용 자바스크립트 페이로드가 저장돼 있다. 이 페이로드가 실행되면서 여러 정보가 사용자 컴퓨터에서부터 수집돼 공격자들의 서버로 넘어간다.
하지만 이 과정에서 공격자들이 실수를 저질렀다. 사람이 해독 가능한 소스코드를 미처 제거하지 않은 것이다. 그래서 아크로니스의 분석가들은 공격자가 어떤 코드를 어떤 식으로 운영하는지, 어떤 전술을 통해 움직이는지 파악할 수 있었다고 한다. “또한 이들이 사용하는 페이로드가 퓨어스틸러(Fewer Stealer)를 기반으로 하고 있다는 것도 알 수 있었습니다.”
공격자들은 일부 공격에서는 퓨어스틸러 외 다른 정보 탈취 멀웨어도 사용하고 있었다.
1) 리트스틸러(Leet Stealer)
2) 리트스틸러의 커스터마이징 버전인 알엠씨스틸러(RMC Stealer)
3) 스니퍼스틸러(Sniffer Stealer)
이 악성코드들이 피해자 시스템에서 돌아가기 시작하면 다음과 같은 정보들이 수집되기 시작했다.
1) 브라우저에 저장된 비밀번호
2) 쿠키
3) 디스코드 토큰
4) 암호화폐 지갑 파일
5) 스팀 세션 키
6) 텔레그램 세션 키
이 정보들을 가지고 간 공격자들은 계정을 탈취하거나, 일부 암호화폐를 빼돌리거나, 협박 메일을 보내 돈을 갈취하는 등의 악성 행위를 이어갔다고 아크로니스는 밝혔다. “이런 후속 공격을 당한 사람들의 실제 피해 규모는 아직 다 조사되지 않았습니다.”
이런 일들이 배경에서 벌어지고 있는 동안 사용자 화면에서는 어떤 일이 벌어질까? “경우마다 다릅니다. 아무 것도 안 뜨는 경우도 있고, 실제 존재하는 소셜 게임이 실행되기도 합니다. 공격자들이 어설프기도 하고, 매우 정교하게 피해자들을 속이기도 한다는 걸 알 수 있습니다.”
아크로니스가 획득한 샘플들은 전부 샌드박스 환경에서 실행되고 있는지부터 살피는 것으로 분석됐다. 하이퍼브이(Hyper-V), 버추얼박스(VirtualBox) 등과 같은 환경을 탐지하며, 만약 그런 환경에서 실행되는 것으로 결과가 나올 경우 오류 팝업창을 띄운 뒤 악성 프로세스를 종료한다. “샌드박스를 활용하는 분석가 눈에 악성이 아니라 파일에 손상이 있는 것처럼 보이도록 꾸며진 것입니다.”
“이제 공격자들은 아예 마케팅까지 흉내 내기 시작했습니다. 가짜 게임을 미끼로 삼으면서 코드는 한 줄도 작성하지 않고 작명만 해서 불특정 다수를 속이려 한다는 건 꽤나 대범한 행동이기도 합니다. 그저 마케팅만 그럴 듯하게 하는 것으로 가짜 게임 개발이라는 수고를 대체한 것이죠. 영리한 진화라고 할 수 있습니다. 공격자들이 ‘효율성’을 얼마나 소중하게 여기는지도 다시 한 번 확인할 수 있습니다.”
Related Materials
- This 'indie game' is actually password-stealing malware: AgeoStealer targets gamers by disguising itself as indie game downloads, stealing credentials and personal files in real time - CyberNews , 2025년
- Acronis uncovers sophisticated infostealer campaign disguised as indie games, using fake promotional sites and Discord links targeting gamers - Acronis , 2025년
- Info-stealing malware escalates in online gaming: Sekoia.io reports Discord-based campaigns using fake game offers to distribute malware to gamers - InfoSecurity Magazine , 2023년
- Researchers uncover info-stealing campaigns targeting indie/online gamers via Discord channels and fake download sites, with incidents involving influencer accounts - Cyware Hacker News , 2023년
