Molayo

© 2026 Molayo

X요약2026. 06. 15. 11:43

Telegram에서 발견된 '무료 GPT 및 Claude' 사칭 정보 탈취형 악성코드 분석

요약

Telegram에서 '무료 GPT 및 Claude'로 위장하여 사용자 정보를 탈취하는 새로운 악성코드가 발견되었습니다. 이 악성코드는 XMRig 채굴기를 함께 배포하여 탐지될 위험이 있음에도 불구하고, 파일 크기를 부풀려 안티 멀웨어를 회피하고 다양한 자격 증명을 탈취하는 정교한 수법을 사용합니다.

핵심 포인트

  • 무료 AI 서비스로 위장하여 사용자 유인
  • 파일 크기 부풀리기(Payload inflation)로 보안 솔루션 회피 시도
  • Outlook 이메일, Chrome 데이터, SFTP 자격 증명 탈취
  • XMRig 채굴기를 함께 사용하여 이중 타격 가함
  • 기존 YARA 규칙으로 탐지하기 어려운 신종 정보 탈취형 악성코드

누군가 Telegram에서 이것을 저에게 보여주었습니다. 매우 어리석은 수법입니다. 이것은 명백히 "무료 GPT 및 Claude"로 위장하고 있습니다. 조금이라도 생각이 있는 사람이라면 이것이 악성임을 알겠지만, 사람들은 여전히 속아 넘어갈 것입니다.

사람들이 이것이 무엇인지 물었습니다. 저는 약간의 여유 시간이 생겨서, 이것을 자세히 파헤쳐 보았습니다.

이것에 대해 논의하던 사람들은 이것이 XMRig라고 말했습니다. 그것은 완전히 정확하지는 않습니다. 이것은 XMRig가 아닙니다. Triage와 VirusTotal에서 이것을 XMRig로 분류하는 이유는 실제로 XMRig를 드롭(drop)하기 때문이지만, 이것은 그 이상의 기능을 수행합니다. 이것은 XMRig와 함께 결합되어 이중 타격을 가하는 (아마도 새로운) 정보 탈취형 악성코드 (Information Stealer)입니다.

이 악성코드는 몇 가지 측면에서 흥미롭습니다:

  1. 이것은 위치 독립적 (Position independent)입니다. 이들은 회피 (Evasive)를 위해 대부분의 종속성 (Dependencies)을 제거할 만큼 신경을 썼습니다. 이는 보통 더 심각한 악성코드의 특징입니다.

  2. "Free GPT and Claude"를 통해 전달되는 .zip 파일은 의도적으로 부풀려져 있습니다 (Payload inflation). 파일 크기가 97MB에 달하며, 이는 큰 크기 덕분에 (초기에) 대부분의 안티 멀웨어 (Anti-malware) 제품을 회피할 수 있습니다. 이 파일은 FFMpeg 및 다양한 기타 오디오 코덱 (Audio codecs)과 함께 패키징되어 있습니다.

  3. 이것은 Microsoft Outlook 이메일에 접근하고, COM IElevationService를 사용하여 Chrome 관련 데이터에 접근하며, 모든 SFTP 자격 증명 (Credentials)을 찾습니다.

이것은 (현재) AV 벤더들의 일치하는 YARA 규칙이 없습니다. 가장 유사한 것은 LummaStealer입니다. 정보 탈취형 악성코드 (Information Stealer) 분야에 대한 저의 지식 베이스는 최신 상태가 아닙니다 (매우 빠르게 변하기 때문입니다). 하지만 첫인상으로 보기에 이것은 새로운 정보 탈취형 악성코드 (Information Stealer)로 보입니다. 다시 말씀드리지만, 이는 주의해서 받아들여야 합니다.

또한, 데이터가 유출되는 도메인이 어떤 악성코드 보고서에도 나타나지 않는다는 점도 주목할 만합니다. 해당 도메인은 고유하며, 페이로드 (Payload)는 기존의 어떤 YARA 규칙과도 일치하지 않습니다 (행동 특성은 일치하지만, 특정 악성코드 패밀리와는 일치하지 않음). 따라서 이것은 실제로 꽤 흥미로운 샘플입니다.

조사 결과, 이것은 신흥 악성코드 캠페인임을 알 수 있습니다. 5월 말경에 처음 나타났습니다. 이것은 (아마도) 수법을 약간 바꾼 알려진 위협 행위자 (Threat Actor)이거나, 혹은 MaaS (Malware-as-a-Service)일 것입니다.

이 악성코드는 온라인상에서 다양한 제품으로 위장하여 나타납니다.

  • ecore-sourceproject
  • LogiDA
  • GPT_Claude_Free
  • CortexSystems.v3.4.2.Stable
  • TikTokBot-v2.2
  • CortexLauncher

재미있게도, 만약 이들이 XMRig를 함께 패키징하지 않았다면 이 악성코드는 훨씬, 훨씬, 훨씬, 훨씬 더 탐지를 피하기 쉬웠을 것입니다. VirusTotal과 Triage는 이 악성코드가 지속성 (Persistence)을 확보하고 기기 내의 모든 자격 증명 (Credentials)을 훔친 후, 암호화폐 채굴기로 변하기 위해 XMRig를 가져오기 때문에 즉각적으로 탐지해냈습니다.

만약 이들이 XMRig 바이너리를 가져오지 않았다면, 이 정보 탈취기 (Stealer)는 훨씬 더 조용했을 것입니다. 왜 이들이 XMRig를 사용하여 자신들의 작전 보안 (OPSEC)을 망치기로 결정했는지 알 수 없습니다.

C2: dfwioeiofwr-dot-info
페이로드 (Payload) (및 C2와 관련된 패밀리)
027d576c6b5512d661081aaeeeb8e611f95a469ccf5ba35e0a390e8814334d05

5dcc599cf48227e65ea49d2708d08704fd1cb7e3b89736718d0d8e557857c49c

5e8b40b0b7512e1a1355374fb0cf34bfdf1260ebdb80a353c8f9da2490beeed3

6a0c332296b017220fc2b522da653fce36a8a3c5c79de0200d61c5fc31eb89ce

a2f8ebf65d54a4d9c8b720d01da77ad796683f1a5b8bd3d08738d7df4365f8a

9d4aaa9842c947756b7c128c432292732098fb71d247ef0bce60368563572da3

c4caca93e2291c018e701c217b7d232c534e4dd142042a59aa4d32754ef3022a
[IMG:1]

AI 자동 생성 콘텐츠

본 콘텐츠는 X 토픽: Claude/Anthropic의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0