‘가짜 크롬 업데이트’로 지갑 턴다…신종 트로그 그랩버, 728개 월렛 겨냥

트로그 그랩버(Torg Grabber)라는 신규 인포스틸러 악성코드가 700개가 넘는 암호화폐 지갑을 직접 겨냥하며 실제 공격에 투입됐다. 브라우저 기반 지갑 사용자, 특히 ‘자기 보관’ 환경이 주요 표적이 되면서 보안 경고가 커지고 있다.

제네디지털(Gen Digital)에 따르면 이 악성코드는 25종 크로미움 계열과 8종 파이어폭스 브라우저에서 작동하며, 총 850개 확장 프로그램을 스캔한다. 이 가운데 728개가 암호화폐 지갑으로 확인됐다. 메타마스크와 팬텀 등 주요 ‘핫월렛’이 포함되며, 시드 문구와 개인 키, 세션 토큰을 암호화해 외부로 유출한다.

‘가짜 업데이트’로 위장한 공격 방식

감염은 ‘GAPI_Update.exe’라는 크롬 업데이트 파일로 위장한 드로퍼에서 시작된다. 약 60MB 크기의 설치 파일은 드롭박스 인프라를 통해 배포되며, 실행 시 정상 DLL 파일을 생성해 흔적을 숨긴다.

이후 약 420초 동안 진행되는 ‘윈도우 보안 업데이트’ 가짜 화면을 띄워 사용자를 속인다. 이 시간 동안 실제 악성 페이로드가 설치된다. 최종 실행 파일은 무작위 이름으로 생성되며 시스템 내부에서 추적을 어렵게 만든다.

데이터 탈취는 ChaCha20 암호화와 HMAC-SHA256 인증을 결합해 진행되며, 클라우드플레어 인프라를 통해 전송된다. 일반적인 악성코드보다 완성도가 높은 ‘상용 수준’ 구조라는 평가다.

728개 지갑 표적…무차별 수집 구조

이번 공격에서 주목할 부분은 ‘728개 지갑’이라는 수치다. 이는 단순 수집이 아니라, 설치 사용자 수가 많은 브라우저 지갑을 체계적으로 포함한 결과다.

트로그 그랩버는 특정 사용자를 노리지 않는다. 감염된 시스템에 존재하는 지갑 정보를 자동으로 수집하는 구조다. 메타마스크처럼 월간 이용자가 수천만 명에 달하는 지갑은 자연스럽게 주요 공격 대상이 된다.

‘자기 보관’ 이용자는 특히 위험하다. 시드 문구를 브라우저 저장소나 텍스트 파일, 비밀번호 관리자에 보관한 경우 단 한 번의 감염으로 자산 전체가 탈취될 수 있다. 반면 거래소 자산은 직접적 공격 대상은 아니지만, 로그인 세션 토큰이 유출될 경우 계정 접근 위험이 발생한다.

러시아 사이버 범죄 조직 연계 정황

분석 과정에서 40개 이상의 운영자 태그와 텔레그램 ID가 확인됐다. 연구진은 최소 8명의 운영자가 러시아 사이버 범죄 생태계와 연관된 것으로 보고 있다.

특히 트로그 그랩버는 ‘멀웨어 서비스(MaaS)’ 형태로 운영된다. 가입한 공격자가 자체 쉘코드를 추가해 공격 범위를 확장할 수 있는 구조다. 제네디지털은 이를 “정교한 REST API 기반 공격 시스템”이라고 평가했다.

확장되는 공격…끝이 아닌 시작

현재 728개 지갑 표적은 ‘현재 스냅샷’일 뿐이다. MaaS 구조 특성상 운영자가 늘어나면 공격 대상 역시 빠르게 확대될 가능성이 크다.

이미 비다르(Vidar), 레드라인(RedLine) 등 기존 인포스틸러들이 유사한 모델로 확산된 전례가 있다. 트로그 그랩버는 여기에 더 정교한 인프라를 결합한 사례로 평가된다.

암호화폐 시장이 커질수록 ‘브라우저 지갑’이라는 편의성 뒤에 숨은 보안 리스크도 함께 커지고 있다. 이번 사례는 자기 보관 환경에서의 보안 관리가 단순 선택이 아닌 필수 요소임을 다시 한 번 보여준다.

기사요약 by TokenPost.ai

🔎 시장 해석

트로그 그랩버는 700개 이상의 암호화폐 지갑을 직접 타깃으로 하는 고도화된 인포스틸러로, 브라우저 기반 ‘핫월렛’ 사용자가 구조적으로 취약하다는 점을 드러냈다.

특히 MaaS(서비스형 악성코드) 구조로 확산 속도가 빠르고 공격 범위가 계속 확대될 가능성이 높다.

💡 전략 포인트

시드 문구와 개인 키는 브라우저·텍스트·클라우드 등 온라인 환경에 저장하지 않는 것이 핵심이다.

브라우저 확장 지갑 대신 하드웨어 지갑 사용과 이중 인증, 콜드 스토리지 분산 보관 전략이 요구된다.

의심스러운 ‘업데이트 파일’ 실행 금지와 보안 솔루션 상시 유지가 필수적이다.

📘 용어정리

인포스틸러: 사용자 PC에서 민감 정보를 훔치는 악성코드

MaaS: 악성코드를 서비스 형태로 제공해 누구나 공격에 활용 가능하게 만든 구조

시드 문구: 지갑 복구 및 전체 자산 접근 권한을 가진 핵심 비밀 키

세션 토큰: 로그인 상태를 유지하는 인증 정보로 탈취 시 계정 접근 가능

💡 자주 묻는 질문 (FAQ)

Q.

트로그 그랩버는 왜 위험한가요?

이 악성코드는 단순한 특정 지갑이 아니라 700개 이상의 브라우저 지갑을 한 번에 스캔해 시드 문구, 개인 키, 세션 토큰까지 탈취합니다. 한 번 감염되면 지갑 전체 자산이 즉시 위험해질 수 있다는 점에서 매우 치명적입니다.

Q.

브라우저 지갑 사용자는 어떤 점을 가장 조심해야 하나요?

시드 문구를 브라우저, 메모장, 클라우드 등에 저장하는 행동이 가장 큰 위험 요소입니다. 또한 가짜 업데이트 파일 실행, 의심스러운 확장 프로그램 설치를 피하고, 가능하면 하드웨어 지갑을 병행하는 것이 안전합니다.

Q.

거래소에 맡긴 자산도 위험한가요?

직접적인 지갑 탈취 대상은 아니지만, 세션 토큰이나 로그인 정보가 유출될 경우 계정 접근 위험이 발생할 수 있습니다. 따라서 거래소 계정 역시 2단계 인증 등 추가 보안을 반드시 설정해야 합니다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.