우크라이나, 28,000개 도난 계정과 연관된 infostealer 운영자 확인

Source: Bleeping Computer

조사 개요

우크라이나 사이버폴리스는 미국 법 집행 기관과 협력하여, 캘리포니아에 있는 온라인 상점 이용자를 표적으로 한 인포스틸러 악성코드 캠페인을 운영한 것으로 의심되는 오데사 출신 18세 남성을 확인했습니다. 위협 행위자는 2024년부터 2025년 사이에 정보 탈취 악성코드를 사용해 기기를 감염시키고, 브라우저 세션 및 계정 자격 증명을 탈취한 뒤 데이터를 수익화했습니다.

영향

• 영향을 받은 계정: 28,000개 고객 계정
• 무단 구매: 총 $721,000에 달하는 5,800건의 거래
• 직접 손실: 청구 취소로 인한 약 $250,000

인포스틸러는 비밀번호, 브라우저 쿠키, 세션 토큰, 암호화 지갑, 결제 정보 등 민감한 데이터를 수집한 뒤 이를 판매하거나 사기에 이용합니다.

“범죄 계획을 수행하기 위해 공격자는 ‘인포스틸러’ 악성코드를 사용해 사용자의 기기를 은밀히 감염시키고, 로그인 자격 증명을 수집해 공격자가 제어하는 서버로 전송했다”고 우크라이나 경찰 보고서는 밝히고 있습니다.

도난된 “세션 데이터”는 자격 증명 없이도 피해자 계정에 로그인할 수 있는 세션 토큰을 의미하며, 다중 인증(MFA)을 우회할 수도 있습니다.

방법론

피 suspect은 도난된 세션 데이터를 처리·판매·악용하기 위해 사용된 온라인 인프라를 관리했습니다. 또한 공범들과 암호화폐 거래를 진행해 탈취한 정보의 수익화를 촉진했습니다.

압수된 증거

압수 물품

경찰은 피 suspect의 거주지를 두 차례 수색해 다음을 압수했습니다:

• 휴대전화
• 컴퓨터 장비
• 은행 카드
• 전자 저장 매체
• 관여 사실을 확인할 수 있는 기타 디지털 증거

증거 내용

• 도난 데이터 판매를 위한 자원 접근 권한
• 서버 활동 로그
• 암호화폐 거래소 계정

출처: cyberpolice.gov.ua

출처: cyberpolice.gov.ua

추가 문서는 여기에서 확인할 수 있습니다.

현재 상황

당국은 피 suspect을 확인하고 수색을 진행했으며, 그가 운영에 관여했음을 입증하는 장치와 기타 증거를 압수했습니다. 발표에서는 체포에 대한 언급이 없으며, 이는 수사관들이 아직 정식 기소 전에 사건을 구축하고 있을 가능성을 시사합니다.