새로운 악성 코드가 구글 크롬을 통해 암호화폐 지갑을 고갈시키고 있습니다.

새로운 악성코드가 암호화폐 사용자를 대상으로 지갑 자격 증명 및 금융 데이터 탈취

StilachiRAT라는 새로 발견된 원격 액세스 트로이 목마(RAT)는 암호화폐 사용자를 대상으로 디지털 지갑 자격 증명을 훔치고 민감한 데이터를 탈취합니다. Microsoft Incident Response 연구원들은 2025년 3월 17일에 발표된 보고서에서 이 악성코드의 능력을 자세히 설명했으며, 암호화폐 지갑 확장 프로그램과 저장된 로그인 자격 증명을 보관하는 Google Chrome 사용자를 겨냥하여 공격하는 데 초점을 맞췄습니다.

Microsoft에 따르면:

StilachiRAT는 Google Chrome 브라우저의 특정 암호화폐 지갑 확장 프로그램 목록을 대상으로 합니다.

이 악성코드는 Bitget Wallet (이전 Bitkeep), Trust Wallet, Tronlink, Metamask (이더리움), Tokenpocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, 브라보스 – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, Confluxportal 및 Plug를 포함한 20개의 다른 지갑 확장 프로그램을 스캔하여, 공격자가 디지털 자산 정보를 추출할 수 있도록 합니다.

암호화폐 지갑을 겨냥하는 것 외에도, StilachiRAT는 암호화 메커니즘을 우회하여 Google Chrome에 저장된 로그인 자격 증명을 훔칩니다. 보고서는 다음과 같이 설명합니다: “StilachiRAT는 사용자의 디렉토리에서 로컬 상태 파일에서 Google Chrome의 encryption_key를 추출합니다. 그러나 Chrome이 처음 설치될 때 키가 암호화되어 있기 때문에 현재 사용자 문맥에 의존하는 Windows API를 사용하여 마스터 키를 해독합니다. 이는 비밀번호 저장소에 저장된 자격 증명에 대한 액세스를 허용합니다.”

이는 공격자가 금융 계정과 관련된 사용자 이름과 비밀번호를 검색할 수 있게 하여 피해자의 디지털 자산에 대한 위험을 더욱 증가시킵니다. 또한, StilachiRAT는 명령 및 제어 (C2) 연결을 설정하여 원격 운영자가 명령을 실행하고, 시스템 프로세스를 조작하며, 초기 감지 후에도 지속적으로 남아 있을 수 있도록 합니다.

이 악성코드는 클립보드 데이터를 지속적으로 모니터링하여 암호화폐 키와 민감한 금융 정보를 추출합니다. Microsoft의 보고서는 주목합니다:

클립보드 모니터링은 비밀번호, 암호화폐 키 및 개인 식별자를 포함할 수 있는 민감한 정보를 대상으로 한 지속적인 검색과 함께 실행됩니다.

암호화폐 주소와 연결된 특정 패턴을 스캔하여, StilachiRAT는 복사된 지갑 주소를 가로채고 대체하여 공격자가 통제하는 대상으로 트랜잭션을 재전송할 수 있습니다. 리스크를 완화하기 위해 Microsoft는 사용자가 Microsoft Defender 보호를 활성화하고, 보안 브라우저를 사용하며, 확인되지 않은 다운로드를 피하도록 권장합니다. 위협 환경이 진화함에 따라, 사이버 보안 전문가들은 암호화폐 보유자들이 디지털 자산을 악용하기 위해 고안된 신흥 악성코드에 대해 경계하도록 촉구합니다.