나는 '귀여운' 마인크래프트 피싱 사이트를 시카고의 C2 서버까지 추적했다

Source: Dev.to

조사 개요

안녕하세요, 커뮤니티 여러분! IT 공학 전공 학생으로서 최근 게임 커뮤니티(특히 마인크래프트 플레이어)를 노린 활발한 위협에 대해 기술 조사를 진행했습니다. 겉보기엔 무해해 보이는 “귀여운” 웹사이트가 실제로는 피싱 및 Malware‑as‑a‑Service (MaaS) 인프라였음이 밝혀졌습니다. 아래는 제가 찾은 내용에 대한 기술적 분석입니다.

Discord를 통한 피싱 및 악성코드 전파

주요 도메인은 owocraft.com 입니다. 처음 보면 Tailwind CSS와 터키어로 작성된 템플릿(/* Sayfa Fade-in Animasyonu */와 같은 주석)으로 구성된 것처럼 보입니다.

주된 사기 수법은 가짜 “런처” 다운로드 버튼을 제공하는 것으로, 실제로는 Dropbox에 호스팅된 악성 .rar 파일(ID: 3d1d505ajob480fkdnpm3)을 가리키고 있습니다. 이 압축 파일 안에는 Discord 토큰을 탈취하는 스틸러가 포함되어 있습니다.

인프라 드러내기

Cloudflare를 이용해 난독화했음에도 불구하고, 수동 DNS 분석과 OSINT 도구(Censys, Shodan 등)를 결합해 실제 서버를 확인했습니다:

• 명령·제어 (C2) IP: 209.182.219.131
• 제공업체: Kamatera (Global Cloud Infrastructure LLC)
• 위치: 미국 일리노이주 시카고
• 시스템 정보: RDP를 통해 관리되는 Windows Server 2016, 호스트명 SUNRATE01-1

네트워크 연관성

이 사이트는 고립된 사례가 아닙니다. 추적 토큰과 CSS 지문을 연관시켜 동일한 인프라와 페이로드를 공유하는 여러 활성 도메인을 발견했습니다:

• kittycraft.online
• ragnacook.site
• cutecraftsmp.com
• playsweetcraft.site

같은 Cloudflare 토큰을 사용하는 서로 다른 도메인으로 구성된 페이지가 19개 이상 존재하므로, 더 많은 사례가 있을 가능성이 높습니다.

사고 대응 및 완화

전문 윤리 기준에 따라 해당 문제를 문서화하고 관련 글로벌 제공업체에 신고했습니다:

• GoDaddy: 범죄 악용 신고 (Claim ID: DCU101215117)
• Google Trust Services: SSL 인증서 폐기 요청
• Google Safe Browsing: 브라우저 차단을 위한 악성 사이트 신고

예방 조치

• 출처 확인: 비공식 출처의 커스텀 런처나 성능 향상 툴을 절대 신뢰하지 마세요. 검증된 개발자나 신뢰할 수 있는 오픈소스 저장소(예: GitHub)만 사용하세요.
• URL 분석: 사기꾼은 .online, .site, .art와 같은 저가 TLD를 자주 사용합니다. WHOIS 정보를 확인하고, 몇 개월 전만에 생성된 “10,000+ 명의 플레이어”를 주장하는 사이트는 사기일 가능성이 높습니다.
• Discord 보안: 2단계 인증(2FA)을 활성화하고 Discord 토큰을 절대 공유하지 마세요. 정당한 애플리케이션이 브라우저 콘솔에 스크립트를 붙여넣거나 .rar 파일을 다운로드해 “계정을 확인”하라고 요구하지 않습니다.
• 가상화 활용: 새로운 모드나 클라이언트를 테스트할 때는 가상 머신(VM)이나 샌드박스 환경에서 실행해 호스트 시스템을 격리하세요.

C2 인프라와 페이로드 배포 시스템은 확인했지만, 네트워크 뒤에 있는 개인을 정확히 규명하는 것은 여전히 어렵습니다. 공격자는 일반적으로 다중 VPN·프록시 계층을 사용하고, Kamatera·Cloudflare와 같은 IaaS 제공업체를 이용해 물리적 위치를 숨기며, 호스팅 제공업체를 전전하고, 암호화된 채널(예: Telegram)로 통신하고, 암호화폐로 결제합니다.

이 주제에 대한 추가 보고서가 온라인에 더 있을 가능성이 높으며, 제 내용은 그 중 하나에 불과합니다.