신규 인포스틸러 악성코드인 트로그 그랩버(Torg Grabber)가 700개 이상의 암호화폐 지갑을 대상으로 한 공격에 사용되고 있다는 alarming 과제가 제기되고 있다. 브라우저 기반 지갑 사용자, 특히 ‘자기 보관’ 환경의 사용자들이 주요 표적이 되어 가고 있으며, 이로 인해 보안 위협이 심각하게 증가하고 있다.
제네디지털(Gen Digital)의 보고서에 따르면, 트로그 그랩버는 25종의 크로미움 계열과 8종의 파이어폭스 브라우저에서 작동하며, 총 850개의 확장 프로그램을 탐색하여 그중 728개가 암호화폐 지갑인 것으로 확인되었다. 유명한 ‘핫월렛’인 메타마스크(MetaMask), 팬텀(Phantom) 등이 포함되어 있으며, 이 악성코드는 사용자의 시드 문구, 개인 키 및 세션 토큰을 암호화하여 외부로 탈취하는 방식으로 작동한다.
트로그 그랩버의 감염 과정은 ‘GAPI_Update.exe’라는 이름의 가짜 크롬 업데이트 파일로 시작된다. 이 파일은 약 60MB 크기의 설치 파일로, 드롭박스 인프라를 통해 배포되어 정상적인 DLL 파일을 숨기면서 실행된다. 공격자가 사용자에게 약 420초 동안 ‘윈도우 보안 업데이트’의 가짜 화면을 표시함으로써 사용자를 속이는 기법이 노출되었다. 이 시간 동안 실제 악성 페이로드가 설치되며, 최종 실행 파일은 무작위로 생성되어 시스템 내에서 쉽게 추적되지 않도록 한다.
데이터 탈취는ChaCha20 암호화와 HMAC-SHA256 인증 방식을 결합하여 진행되며, 탈취된 정보는 클라우드플레어 인프라를 통해 전송된다. 일반적인 악성코드보다 더욱 정교하고 상용화된 수준의 구조를 가지고 있다는 평가가 주목받고 있다.
728개의 지갑이 표적이 되었는데, 이는 단순한 수집 목적이 아니라 설치 사용자 수가 많은 브라우저 지갑을 체계적으로 분류한 결과로 나타난다. 트로그 그랩버는 특정 사용자를 목표로 하지 않으며, 감염된 시스템 내 지갑 정보를 자동으로 수집한다. 이러한 이유로 메타마스크같이 월간 이용자가 수천만 명에 달하는 지갑이 공격의 주요 대상이 된다.
특히 ‘자기 보관’을 활용하는 이용자는 큰 위험에 처해 있다. 시드 문구가 브라우저 저장소나 텍스트 파일, 비밀번호 관리자의 데이터로 저장된 경우, 단 한 번의 감염으로 모든 자산이 도난당할 수 있다. 거래소 자산은 직접적으로 공격받지는 않지만, 로그인 세션 토큰이 유출될 경우 계정 접근이 가능해지는 위험이 있다.
체계적인 분석을 통해 40개 이상의 운영자 태그와 텔레그램 ID가 확인되었고, 최소 8명의 운영자가 러시아 사이버 범죄 조직과 관련되어 있다는 정황이 포착되었다. 트로그 그랩버는 ‘멀웨어 서비스(MaaS)’ 형태로 운영되어 사용자 공격자가 자체적인 쉘코드를 추가할 수 있는 구조를 가지고 있다. 이는 “정교한 REST API 기반 공격 시스템”이라고 평가되고 있다.
현재 728개 지갑 표적은 단지 ‘현재 스냅샷’일 뿐이며, MaaS 구조로 인해 운영자가 증가함에 따라 공격 대상을 더욱 확대할 가능성이 크다. 비다르(Vidar), 레드라인(RedLine) 등 기존 인포스틸러들이 유사한 방식으로 확산된 사례가 있는 가운데, 트로그 그랩버 또한 더욱 정교한 인프라를 통해 공격을 강화하고 있다.
암호화폐 시장이 확장될수록, 편리한 ‘브라우저 지갑’ 뒤에 숨겨진 보안 리스크는 함께 커지고 있다. 이번 사건은 자기 보관 환경에서의 보안 관리가 단순한 선택이 아닌 필수로 자리 잡아야 함을 다시금 확인시켜 준다. 이러한 상황 속에서 자산을 안전하게 보호하기 위해 사용자들은 시드 문구와 개인 키를 안전한 오프라인 환경에 저장하고, 거래소 계정에는 이중 인증
