브라질 내 암호화폐 보유자들을 겨냥한 고도화된 해킹 캠페인이 보고되며 주의가 요구되고 있다. 이번 공격은 왓츠앱을 통해 퍼지는 웜과 뱅킹 트로이목마를 결합한 방식으로 보안 전문가들은 피해 확산을 우려하고 있다.

글로벌 보안 기업 트러스트웨이브(Trustwave)의 사이버 보안 연구팀 스파이더랩스(SpiderLabs)는 최근 보고서를 통해 ‘이터니다지 스틸러(Eternidade Stealer)’로 불리는 악성코드가 브라질에서 급속도로 유포되고 있다고 밝혔다. 해커들은 ‘정부 프로그램 사칭’, ‘배송 알림’, ‘친구 메시지’, ‘투자 커뮤니티 위장’ 등 다양한 사회공학적 수법을 활용해 왓츠앱 메시지를 통해 악성 링크를 보내고 있다는 설명이다.

연구팀은 “왓츠앱은 브라질 사이버 범죄 생태계에서 가장 많이 악용되는 소통 수단 중 하나”라며 “최근 2년간 공격자들은 이 플랫폼의 폭넓은 사용성을 노려 뱅킹 트로이목마와 정보 탈취용 악성코드를 유포하는 기술을 정교화해왔다”고 밝혔다. 보고서는 나다니엘 모랄레스, 존 바스마요르, 니키타 카지미르스키 등 연구자들이 공동 작성했다.

공격 절차는 단순하지만 파급력이 크다. 사용자가 왓츠앱에서 악성 링크를 클릭하면 웜과 뱅킹 트로이목마에 동시에 감염된다. 이 웜은 사용자의 연락처 목록을 확보한 뒤, ‘스마트 필터링’ 기능으로 기업 계정이나 단체방은 건너뛰고 개인 연락처 위주로 전파된다. 감염된 계정은 다시 다른 연락처로 악성 메시지를 보내며 악성코드는 더욱 퍼진다.

동시에 사용자 기기에는 자동으로 이터니다지 스틸러가 설치돼 백그라운드에서 작동한다. 이 트로이목마는 브라질 주요 은행, 핀테크 기업, 암호화폐 거래소 및 지갑 애플리케이션에 저장된 금융 데이터와 로그인 정보를 광범위하게 스캔한다는 특징이 있다.

이번 캠페인은 일반 이용자의 일상적 온라인 활동을 교묘히 파고드는 사회공학적 기법과 최신 악성코드 조합으로 이뤄졌다는 점에서 우려가 크다. 특히 디지털 금융 환경 의존도가 높은 브라질에서 암호화폐 사용자들이 주요 표적이 된다는 점은, 해당 지역을 넘어 글로벌 웹3 보안 시스템의 경각심을 다시 한 번 일깨우는 사례로 평가된다.