텔레그램 기반 정보도용 작전으로 4,000명 이상의 피해자가 표적이 되었습니다.

파이썬 기반의 악성 프로그램 PXA 스틸러는 해커들이 수천 명의 사용자로부터 데이터를 도난당하고 감지되지 않은 상태로 나중에 텔레그램을 통해 그것을 판매하게 해줍니다.

SentinelLabs의 연구원들은 보고서에서 파이썬 기반의 PXA Stealer 악성코드가 새롭고 강력한 사이버 공격을 시작하여 적어도 62개국에서 수천 대의 컴퓨터를 감염시키고, 20만개 이상의 비밀번호, 신용카드 정보, 그리고 수백만 개의 브라우저 쿠키를 훔쳤다고 밝혔습니다.

2024년 말에 처음 나타난 이 작업은 2025년에 점점 더 정교해졌습니다. 이 작업은 Haihaisoft PDF Reader나 Microsoft Word 2013와 같은 가짜 다운로드를 사용하여 사용자들이 악성 파일을 열도록 속입니다.

이 파일들은 그 후에 악성 소프트웨어를 설치하여 암호화폐 지갑 세부 정보, 저장된 비밀번호, 브라우저 이력 등과 같은 민감한 정보를 도용하고, 그 정보를 자동화된 봇을 통해 비공개 텔레그램 채널로 전송합니다.

연구자들은 “이런 캠페인들을 주도하는 위협 요인들이 베트남어를 사용하는 사이버 범죄자들과 연관되어 있다”고 말하며, 이들은 텔레그램의 API를 사용해 도난당한 데이터를 판매하여 이익을 취한다고 합니다.

이 맬웨어인 PXA Stealer는 자신의 존재를 숨기기 위해 정교한 방법을 사용합니다. 예를 들어, “images.png”나 “Document.pdf”와 같은 가짜 이름을 통해 자신의 파일을 숨기고, 검출을 피하기 위해 서명된 프로그램을 사용합니다. 일단 설치되면, 텔레그램을 통해 데이터 추출을 수행하는데, 연구자들은 이것이 대부분의 안티바이러스 소프트웨어에 의해 감지되지 않게 해준다고 말합니다.

피해자들은 한국, 미국, 네덜란드, 헝가리, 오스트리아 사용자들을 포함하고 있습니다. 텔레그램은 데이터를 보내는 것뿐만 아니라 도난당한 정보를 조직하고 관리하는 데에도 사용됩니다. ‘Logs_Data_bot’이라는 하나의 봇은 ‘James – New Logs’나 ‘Adonis – Reset Logs’ 같은 여러 채널에 연결되어, 도난당한 데이터를 분류하고 해커에게 자동 업데이트를 보냅니다.

연구자들은 “각 봇은 최대 3개의 텔레그램 채널에 연결되어 있다”고 말했고, 데이터는 효율적으로 분류되고 패키지화되어 Sherlock 같은 서비스에서 빠르게 재판매됩니다.

조사 결과에 따르면, 사이버 범죄자들이 이제 텔레그램과 클라우드플레어 같은 플랫폼을 활용하여 빠르고, 저렴하게, 그리고 대규모로 작업을 진행하며 정보 도용을 매우 효율적인 사업으로 전환하고 있다는 사실을 보여줍니다.