사이버 보안 기업인 말웨어바이츠(Malwarebytes)는 TradingView Premium의 ‘크랙’ 버전 안에 숨겨진 새로운 형태의 암호화폐 훔치는 악성코드에 대해 경고했다. TradingView는 금융 시장을 위한 차트 도구를 제공하는 소프트웨어로, 최근 사이버 범죄자들이 암호화폐 관련 서브레딧에서 “TradingView Premium Cracked”라는 이름의 설치 파일 링크를 게시하고 있다는 것이다.
말웨어바이츠의 선임 보안 연구원인 제롬 세구라(Jerome Segura)는 3월 18일 블로그 게시물에서, 이러한 크랙 소프트웨어는 개인 데이터 탈취와 암호화폐 지갑의 자금을 draining하는 악성코드가 포함되어 있다고 설명했다. 피해자들은 자신의 암호화폐 지갑이 비워지면서 범죄자들에 의해 사칭되어, 자신의 연락처에게 피싱 링크를 보냈던 경우도 있다.
사기범들은 프로그램이 무료이며 공식 버전에서 직접 크랙되었다고 주장한다. 그러나 실제로는 악성코드가 가득 차 있다. 특히, 이들은 ‘Lumma Stealer’와 ‘Atomic Stealer’라는 두 가지 악성 프로그램을 포함하고 있다. Lumma Stealer는 2022년에 등장해 주로 암호화폐 지갑과 이중 인증(2FA) 브라우저 확장 프로그램을 목표로 하는 정보 탈취 악성코드다. Atomic Stealer는 2023년 4월에 처음 발견되었으며, 관리자 암호 및 키체인 비밀번호와 같은 데이터를 캡처하는 능력으로 알려져 있다.
세구라는 이 사기의 흥미로운 점은 사기범이 사용자들이 악성 소프트웨어를 다운로드하는 데 도움을 주고 다운로드 문제를 해결하는 데까지 시간을 소비한다는 것이다. 원래 게시물이 사용자가 이러한 파일을 자신의 위험을 감수하며 설치한다는 경고를 주지만, 스레드의 더 아래에서는 기존 게시자에게서 여러 댓글을 볼 수 있다.
이번 악성코드의 출처는 명확하지 않지만, 말웨어바이츠는 해당 파일이 호스팅되는 웹사이트가 두바이의 청소 회사에 속하며, 악성코드의 명령 및 제어 서버는 약 일주일 전에 러시아의 한 인물에 의해 등록된 것으로 확인하였다. 세구라는 크랙된 소프트웨어가 수십 년 동안 악성코드를 포함하는 경향이 있지만, “무료 점심의 유혹은 여전히 매우 매력적”이라고 언급했다.
사기 유형과 관련하여 주의해야 할 일반적인 경고 신호는 프로그램 실행을 위해 보안 소프트웨어를 비활성화하라는 지시와 비밀번호로 보호된 파일들이라는 것이다. 예를 들어, 세구라는 “파일이 두 번 압축되었으며, 마지막 압축은 비밀번호로 보호되어 있다”고 설명했다. 이는 정당한 실행 파일이 그러한 방식으로 배포될 필요가 없다는 점을 강조한다.
블록체인 분석 회사 체이널리시스(Chainalysis)는 2025년 암호화폐 범죄 보고서에서 암호화폐 범죄가 AI 기반 사기와 안정적인 코인 세탁, 효율적인 사이버 범죄 집단에 의해 전문화된 시대에 접어들었다고 언급하였다. 이 분석 회사는 지난 1년 동안 $51억의 불법 거래량이 발생했다고 추정한다.
