탈취된 정보를 실시간으로 열람하게 하는 새 멀웨어, 레이븐스틸러
- 새 정보 탈취 멀웨어, 레이븐스틸러
- 탈취한 정보를 공격자가 실시간으로 열람할 수 있어
- 불법 소프트웨어 다운로드 통해 확산
정보 탈취에 능하면서 동시에 흔적을 감추는 데도 뛰어난 새 멀웨어가 발견됐다. 이에 대해 처음 알린 보안 업체 포인트와일드(Point Wild)에 의하면 이 멀웨어의 이름은 레이븐스틸러(Raven Stealer)라고 한다. 현재 다크웹의 암시장을 통해 거래되거나, 불법 복제 소프트웨어에 패키징 되어 제공된다는 특징을 가지고 있기도 하다.
레이븐스틸러?
레이븐스틸러는 델파이와 C++로 작성됐다. 이 멀웨어는 조용히 사용자의 컴퓨터에 침투한 뒤에야 실제 피해를 일으키는 부분인 페이로드(payload)를 발동시킨다. 이 페이로드는 크롬이나 에지 같은 인기 브라우저에 저장된 비밀번호, 쿠키, 결제 정보 등을 훔쳐내고, 그것을 텔레그램 메신저 봇을 통해 전송한다. “이는 공격자들이 실시간으로 탈취 정보를 받아볼 수 있다는 뜻입니다.”
레이븐스틸러는 ‘프로세스 할로잉(process hollowing)’이라는 기법을 사용해(정상 브라우저로 위장하는 경우가 많다) 여러 보안 솔루션들을 회피하는 것으로 분석되기도 했다. 여기에 더해 하드드라이브에 파일을 남기지 않고, 컴퓨터 메모리 내에서만 작동한다는 특징도 발견됐다. 이 때문에 보안 소프트웨어로서는 탐지가 까다로워진다.
프로세스 할로잉이란 무엇일까? ‘프로세스’는 컴퓨터 프로그램이 작동할 때 생성되는 것으로 ‘현재 이런 작업이 컴퓨터에서 수행되고 있다’는 걸 나타내고, ‘할로잉’은 ‘속을 비운다’는 의미의 단어다. 즉 컴퓨터 프로세스의 속을 비운다는 게 ‘프로세스 할로잉’의 뜻이라 할 수 있다. 악성코드도 컴퓨터 프로그램이기 때문에 실행되는 순간 프로세스가 생성된다. 하지만 악성 프로세스는 금방 탐지돼 종료되거나 조치가 취해진다. 따라서 악성코드는 프로세스를 위장시켜야 한다. 프로세스 할로잉은 정상 프로세스의 껍데기를 빌리는 기법이다. 도둑이 훔친 자동차를 판매할 때 껍데기를 그럴 듯하게 만들고 엔진은 완전히 다른 것으로 넣어 사기치는 것에 비유할 수 있다.
핵심 페이로드는 암호화된 채 레이븐스틸러 내부에 보관된다. 레이븐스틸러가 침투 작업을 실시하는 동안에는 이 페이로드가 발동되지 않는다. 암호화 된 채로 얌전히 있는데, 이 때문에 탐지가 어렵다. 최초 침투가 완료되면 핵심 페이로드가 피해자 컴퓨터에 설치되며, 그 후 이 페이로드는 위에 언급한 여러 가지 정보를 압축(zip) 파일로 묶는다. 그런 후 이 아카이브를 텔레그램을 통해 전송한다.
실시간으로 정보를 받는다?
위에서 포인트와일드가 언급한 “실시간으로 탈취 정보를 받는다”는 건 어떤 의미일까? 보안의 관점에서는 사건 대응의 시간이 크게 줄어든다는 걸 뜻한다. 왜냐하면 탈취된 정보를 실시간으로 손에 쥐게 된 공격자는 그 정보를 즉각 이용할 수 있게 되기 때문이다. 크리덴셜 정보라면 얼른 로그인을 시도해 보고, 신용카드 정보라면 즉시 사기 구매를 해보고, 암호화폐 지갑 정보라면 지갑털이를 금방 실시할 수 있다는 것.
보통 정보 탈취 공격에서 공격자는 멀웨어가 전송하는 정보를 나중에, 모아서 보게 된다. 즉 실제 탈취와 열람 사이에 어느 정도 시간 간격이 존재한다는 것이다. 그래서 사회적으로 파급력이 높은 정보 탈취 사건이 일어나도 곧바로 피해자들이 속출하지 않고, 한참 시간이 흐른 뒤에 ‘그 사건으로부터 파생된 금융 사기 사건’이나 ‘그 때 정보를 빼앗긴 사람들을 겨냥한 피싱 공격’ 등이 발생한다.
정보를 모았다가 쓰는 게 아니라 실시간으로 받아서 활용한다는 건 수사의 어려움을 뜻하기도 한다. 탈취 공격의 증거가 될 수 있는 데이터의 흔적이 덜 남기 때문이다. 데이터를 실시간으로 받아 얼른 활용한 후 폐기하는 범죄와, 데이터를 어디엔가 한참 모았다가 나중에야 활용한 뒤 폐기하는 범죄는, 수사관들의 증거 수집이라는 측면에서 큰 차이가 날 수밖에 없다.
어떻게 방어하나
‘실시간 데이터 수집’은 ‘실시간 대응’으로밖에 방어할 수 없다고 포인트와일드는 짚는다. 다행히 요즘 안티바이러스 등 여러 보안 제품들에 실시간 모니터링과 탐지 기능이 점점 많이 탑재되는 추세라 찾는 게 그리 어렵지 않다. “해킹 공격으로 인한 피해를 최소화 하려면 탐지와 대응이 빨라야 한다는 보안의 대전제는 변하지 않습니다. 실제로 보안 업계의 대응 속도는 점점 빨라지기도 했고요. 레이븐스틸러 개발자가 ‘한 발 더 빠른 공격’이라는 문제를 냈고, 이제 거기에 보안 업계가 답을 내놓을 차례입니다.”
레이븐스틸러가 불법 복제 소프트웨어 형태로 퍼진다는 것도 염두에 두어야 한다고 와일드포인트는 강조한다. “불법 복제 소프트웨어 안에 멀웨어를 넣어 유포하는 전략은 엄청나게 오래된 것입니다. 이런 단순한 기법이 오랜 시간 살아남는다는 건, 그만큼 잘 통한다는 의미입니다. 아직도 많은 사람들이 불법 소프트웨어를 다운로드 받는다는 뜻이죠. 불법 소프트웨어를 다운로드 받으면 원 창작자가 고통을 받는다는 걸 넘어, 받는 사람 스스로가 피해를 입지 않기 위해서라도 불법 다운로드를 근절해야 합니다.”
Related Materials
- Raven Stealer Targets Google Chrome Users to Exfiltrate Data - GBHackers, 2025년
- Raven Stealer - PointWild Threat Intelligence, 2025년
- New Raven Stealer Malware Hits Browsers for Passwords and Payment Data - Hackread, 2025년
- Raven Stealer: New MaaS Infostealer Plunders Data via Reflective Process Hollowing and Telegram Exfiltration - SecurityOnline, 2025년
문가용 기자
문가용 기자
![[TE머묾] 헝가리 통해 보는 보안 배척 레퍼토리](https://images.unsplash.com/photo-1590520477800-3907c51f094b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fCVFRCU5NSU5OCVFRCU5MiU4OHxlbnwwfHx8fDE3Nzg1NjYxMjR8MA&ixlib=rb-4.1.0&q=80&w=600)