그동안 사이버 범죄 지하 세계는 어느 정도 예측 가능한 방식으로 운영되어 왔습니다. 특정 그룹이 자신들의 영역을 구축하고, 고유한 작업 방식을 개발한 뒤, 종종 은둔하거나 이름을 바꿔 나타나곤 했죠. 그래서 이름만 들어도 징글징글한 브라질 악당 집단, LofyGang이 3년간의 침묵을 깨고 다시 나타났을 때, 다들 예상했던 건 아마 익숙한 사냥터로 돌아올 거라는 기대였을 겁니다. 타이포스쿼팅된 npm 패키지나 그와 유사한 복잡한 디지털 골목길 말입니다. 하지만 그들의 복귀는 우리의 예상을 완전히 뒤엎었습니다.
오래된 수법을 재탕하는 대신, LofyGang은 급격한 방향 전환을 시도했습니다. 방대하고, 또 종종 어린 유저들이 많은 마인크래프트 플레이어층을 직접 겨냥하는 ‘LofyStealer’라는 새로운 악성코드를 앞세운 캠페인을 시작한 것이죠. 이건 단순한 버전 업그레이드가 아닙니다. 시장 역학과 사용자 심리에 대한 깊이 있는 이해를 보여주는 전략적 재정비입니다. 때로는 가장 복잡한 기술적 경로보다, 사회 공학적인 접근이 훨씬 효과적이라는 것을 배운 듯합니다.
‘Slinky’ 미끼의 함정
브라질의 보안 업체 ZenoX가 이 작전을 포착했는데, 이 악성코드가 ‘Slinky’라는 이름의 마인크래프트 핵으로 위장하고 있다고 밝혔습니다. 이건 절대 우연이 아닙니다. 공식 게임 아이콘을 사용함으로써, 단순히 악성 코드를 숨기는 것을 넘어 신뢰를 무기로 삼고 있습니다. 많은 어린 게이머들에게 게임 내 이점이라는 유혹은 신중함보다 강하며, LofyGang은 바로 그 점을 파고들고 있습니다. 이는 규모 있는 사회 공학의 교과서적인 예시입니다. 디지털 환경에 익숙하지만, 실제 위협과 달콤한 디지털 지름길을 구별할 만큼 성숙하지 못한 사용자의 취약점을 이용하는 것이죠.
2021년 말부터 활동한 것으로 추정되는 이 그룹은 과거 이력이 있습니다. 2022년에는 npm 레지스트리에서 타이포스쿼팅된 패키지를 활용하여 Discord Nitro, 게임 플랫폼, 스트리밍 서비스 등의 신용카드 정보와 사용자 계정을 훔치려 했습니다. 또한 GitHub, YouTube 등에서도 활발하게 활동하며, ‘DyPolarLofy’라는 별명으로 지하 해킹 커뮤니티에 기여하기도 했고, 수천 개의 Disney+ 및 마인크래프트 계정을 유출하기도 했습니다. 이번 캠페인은 마인크래프트와 관련된 그들의 첫 시도가 아니라, 이전의 관심을 확대한 것입니다.
ZenoX의 공동 창립자이자 위협 인텔리전스 책임자인 Acassio Silva는 이러한 연속성을 강조했습니다. “마인크래프트는 2022년부터 LofyGang의 목표물이었습니다.” 그는 Cracked.io에 DyPolarLofy라는 별명으로 유출된 수천 개의 마인크래프트 계정에 대한 언급을 하며 과거 활동을 상세히 설명했습니다. 하지만 현재 캠페인은 ‘Slinky’라는 가짜 핵으로 플레이어들을 직접 노리는 진화된 형태입니다. 이는 광범위한 인프라 침해보다는, 집중적이고 대량의 공격에 가깝습니다.
공급망 공격에서 서비스형 악성코드로
이번 복귀가 특히 주목할 만한 이유는 비즈니스 모델의 변화입니다. 역사적으로 LofyGang의 주요 공격 경로는 자바스크립트 공급망이었습니다. NPM 패키지 타이포스쿼팅, GitHub 스타잭킹(가짜 참조로 리포지토리의 신뢰도를 부풀리는 행위), 그리고 탐지를 피하기 위한 하위 종속성에 페이로드를 삽입하는 방식이었습니다. 이들은 Discord 토큰 탈취, 신용카드 가로채기를 위한 클라이언트 수정, 웹훅을 통한 데이터 유출에 집중했으며, 종종 Discord, Repl.it, Glitch, GitHub, Heroku와 같은 합법적인 서비스를 명령 및 제어(C2) 인프라로 남용했습니다.
이번 최신 개발은 중대한 변화를 의미합니다. 이 그룹은 이제 서비스형 악성코드(MaaS) 모델로 전환하고 있습니다. 이는 단순히 접근 권한을 판매하는 것이 아니라, 무료 및 유료 옵션 모두를 제공하는 계층형 서비스를 제공하는 것입니다. 여기에 ‘Slinky Cracked’라는 맞춤형 빌더가 스틸러 악성코드를 전달하는 역할을 합니다. 이는 결정적인 전략적 전환입니다. 빌더와 계층형 서비스를 제공함으로써, 다른 신생 사이버 범죄자들의 진입 장벽을 낮추고, 모든 공격을 직접 실행할 필요 없이 그들의 영향력을 효과적으로 증폭시키고 있습니다.
GitHub의 도박과 신뢰의 결핍
이러한 전환은 위협 행위자들이 GitHub와 같은 플랫폼을 점점 더 많이 악용하는 광범위한 추세와 일치합니다. 이곳은 SmartLoader, StealC Stealer, Vidar Stealer와 같은 악성코드 제품군을 다운로드하도록 희생자를 유인하는 가짜 리포지토리를 호스팅하는 데 자주 사용되는 곳이 되었습니다. SEO 중독과 같은 기술은 순진한 사용자들을 이러한 기만적인 사이트로 유도합니다. 우리는 VS Code에 대한 가짜 보안 경고, GitHub에 호스팅된 RAT로 이어지는 스피어 피싱 이메일, 심지어 개발자들이 계정에 대한 접근 권한을 부여하도록 속이는 악성 OAuth 애플리케이션 등 다양한 방식으로 이 패턴이 전개되는 것을 보았습니다.
“이 정보 탈취 캠페인은 널리 신뢰받는 플랫폼이 악성 페이로드를 배포하는 데 악용되는 지속적인 보안 문제를 강조합니다.”
Acronis는 이러한 지속적인 문제를 정확하게 요약했습니다. “사회적 신뢰와 일반적인 다운로드 채널을 이용함으로써, 위협 행위자들은 종종 기존의 보안 솔루션을 우회할 수 있습니다.” LofyGang의 현재 전략은 인기 있는 게임 환경 내에서 직접적인 사회 공학적 접근 방식을 사용하며, 이는 좋은 예시입니다. 그들은 단순히 기술적 취약점뿐만 아니라, 신뢰가 종종 당연하게 여겨지는 디지털 공간에서 증폭되는 인간의 취약점을 이용하고 있습니다.
마인크래프트 플레이어에게 왜 중요한가
마인크래프트를 즐기는 수백만 명의 사용자에게 이는 위험 증가를 의미합니다. 일단 실행되면, 악성코드는 LofyStealer(‘chromelevator.exe’로 위장)를 배포하고 메모리에서 직접 실행합니다. 그 목표는 Chrome, Edge, Brave, Opera, Firefox, 심지어 Avast Browser 등 여러 웹 브라우저에 걸쳐 광범위한 민감한 데이터를 수집하는 것입니다. 여기에는 쿠키, 비밀번호, 토큰, 신용카드 정보, 국제 은행 계좌 번호(IBAN) 등이 포함되며, 이 모든 정보는 24.152.36[.]241에 위치한 C2 서버로 유출됩니다. 신원 도용 및 금융 사기의 가능성이 상당합니다.
LofyGang의 복귀는 공급망 공격에서 직접적인 사회 공학 및 MaaS 모델로의 중요한 전략적 전환으로 표시되며, 사이버 범죄 환경의 역동적이고 예측 불가능한 특성을 강조합니다. 한때 한 가지 유형의 공격으로 알려졌던 그룹이 이제는 더 적응력이 뛰어나고 잠재적으로 더 위험한 개체가 되었습니다. 그들을 상대로 기존의 시그니처 기반 탐지에만 의존하던 시대는 끝났습니다. 그들의 진화하는 전술을 이해하는 것이 이제 무엇보다 중요합니다.
🧬 관련 인사이트
- 더 읽어보기: [10 Threats] 보안계 주간 소식: 가짜 Claude 악성코드부터 킬러 로봇까지
- 더 읽어보기: 멀티 OS 공격이 65%의 침해 사고 발생률 기록—SOC의 3단계 해결책
자주 묻는 질문
LofyStealer란 무엇인가요? LofyStealer는 브라질 사이버 범죄 그룹 LofyGang이 개발한 새로운 악성코드입니다. 감염된 컴퓨터에서 브라우저 쿠키, 비밀번호, 금융 정보 등 민감한 데이터를 훔치도록 설계되었습니다.
LofyStealer는 어떻게 퍼지나요? LofyStealer는 ‘Slinky’라는 가짜 마인크래프트 핵을 통해 배포되고 있습니다. 이 악성코드는 공식 게임 아이콘을 사용하여 의심하지 않는 사용자를 속여 자발적으로 실행하도록 유도합니다.
LofyStealer는 어떤 종류의 데이터를 훔치나요? 이 악성코드는 다양한 웹 브라우저에서 브라우저 쿠키, 비밀번호, 보안 토큰, 신용카드 정보, 국제 은행 계좌 번호(IBAN) 등 광범위한 민감한 정보를 대상으로 합니다.
