Amatera Stealer

사이버 위협이 눈부신 속도로 진화함에 따라 개인 및 업무용 기기를 보호해야 할 필요성은 그 어느 때보다 시급합니다. 가장 새롭고 교활한 위협 중 하나는 시스템에 은밀히 침투하여 민감한 정보를 수집하고 추가 공격의 문을 여는 악성 프로그램인 아마테라 스틸러(Amatera Stealer)입니다. 정교하고 은밀하며 위험한 아마테라는 단순한 멀웨어가 아니라, 서비스 형태로 판매되는 본격적인 사이버 무기입니다.

아마테라 스틸러: 상업용 악성코드의 강자

아마테라는 C++로 작성되었으며 ACR이라는 또 다른 위협을 기반으로 구축된 정보 탈취형 악성코드입니다. 서비스형 악성코드(MaaS) 모델을 통해 제공되며, 월 199달러부터 연 1,499달러까지 다양한 가격대로 사이버 범죄자들을 대상으로 판매됩니다. 이러한 구조는 위협 행위자의 진입 장벽을 낮춰 경험이 부족한 사용자라도 심각한 공격을 감행할 수 있도록 합니다.

아마테라를 특히 위험하게 만드는 것은 단순히 데이터를 훔치는 능력만이 아니라 정기적인 업데이트, 지원, 배포 도구를 제공하는 범죄 기업의 지원을 받는다는 사실입니다.

아마테라가 추구하는 것: 목표에 대한 심층 분석

아마테라의 주요 목표는 감염된 시스템에서 다양한 민감한 데이터를 수집하는 것입니다. 다음 사항에 중점을 둡니다.

브라우저 데이터 : 쿠키, 양식 데이터, 검색 기록을 수집합니다.

확장 프로그램 : 비밀번호 관리자 및 암호화폐 지갑과 관련된 확장 프로그램을 대상으로 합니다.

데스크톱 애플리케이션 : 이메일 클라이언트, 메시징 앱(Signal, WhatsApp, XMPP), SSH/FTP 도구, 소프트웨어 지갑에서 데이터를 스캔합니다.

파일 유형 및 키워드 : 민감한 데이터와 관련된 특정 키워드나 확장자가 포함된 파일을 저장 드라이브에서 찾습니다.

Chrome의 기본 보안을 우회하기 위해 Amatera는 악성 코드를 브라우저에 직접 삽입하여 보호된 파일을 도난당할 수 있는 위치로 이동시킵니다.

단순한 도둑 이상: 악성 명령 실행

아마테라는 수동적인 절도에만 국한되지 않습니다. 다음과 같은 능력을 가지고 있습니다.

• .exe, .dll, .cmd, .ps1과 같은 확장자를 가진 파일을 다운로드하여 실행합니다.
• 손상된 시스템에서 PowerShell 스크립트를 실행합니다.

즉, 아마테라는 추가 맬웨어 페이로드를 용이하게 하고, 지속성을 유지하거나 원격 액세스를 가능하게 하여 손상을 더욱 심화시킬 수 있다는 의미입니다.

확산 방식: ClearFake와 소셜 엔지니어링의 역할

아마테라의 가장 주목할 만한 배포 방식 중 하나는 ClearFake 캠페인입니다. 이 사기성 작전은 합법적인 웹사이트를 감염시키고 유해한 스크립트를 삽입합니다. 이러한 웹사이트는 일반적으로 피싱 이메일이나 멀버타이징을 통해 접속됩니다.

주요 유통 전략은 다음과 같습니다.

가짜 CAPTCHA 프롬프트 : 사용자에게 실제로 악성 명령을 실행하는 설득력 있는 CAPTCHA 질문이 제시됩니다.

ClickFix 악용 : Windows 실행 대화 상자를 호출하고 페이로드를 트리거하는 데 악용됨.

EtherHiding 기술 : 블록체인 거래에 악성 코드를 숨기고 사이트 방문 시 검색하는 데 사용됩니다.

가짜 소프트웨어와 크랙 : 위장된 설치 프로그램과 소프트웨어 패치를 통해 사용자를 속여 맬웨어를 설치하게 합니다.

감염 증상 및 주의 사항

사용자와 시스템 관리자는 아마테라 감염의 다음과 같은 잠재적 징후에 대해 경계해야 합니다.

• 설명할 수 없는 네트워크 활동, 특히 이상한 실행 파일과 관련된 활동.
• 브라우저가 갑자기 충돌하거나 동작이 변경되었습니다.
• 신뢰할 수 없는 출처에서 시스템 수준 명령이나 CAPTCHA를 실행하라는 예상치 못한 메시지가 표시됩니다.
• 개인 파일, 브라우저 세션 또는 암호화폐 지갑 데이터가 손실되거나 유출되었습니다.

안전하고 보안을 유지하는 방법

아마테라 스틸러(Amatera Stealer)와 같은 지능형 악성코드 위협으로부터 자신을 보호하려면 사전 예방과 신속한 대응이 모두 필요합니다. 위험을 줄이는 가장 효과적인 방법 중 하나는 바이러스 백신 및 악성코드 방지 도구를 항상 최신 상태로 유지하고 실시간으로 실행하는 것입니다. 또한, 의심스럽거나 비공식적인 출처에서 소프트웨어를 다운로드하지 않는 것도 중요합니다. 이러한 출처는 악성 페이로드를 배포하는 데 자주 사용되기 때문입니다. 특히 첨부 파일이나 링크가 포함된 원치 않는 이메일을 수신할 때는 항상 경계하는 것이 감염 예방에 도움이 되는 중요한 습관입니다.

브라우저 확장 프로그램과 시스템 소프트웨어를 최신 상태로 유지하는 것은 필수적입니다. 오래된 버전은 악성코드가 악용할 수 있는 보안 취약점을 포함하고 있을 수 있습니다. 또한 예상치 못한 파일 접근이나 성능 문제 등 기기에서 발생하는 이상 동작에도 주의를 기울여야 합니다. 이는 활성 위협의 신호일 수 있습니다.

시스템 침해가 의심되는 경우, 첫 번째 단계는 인터넷 연결을 끊어 지속적인 데이터 유출을 막는 것입니다. 신뢰할 수 있는 보안 솔루션을 사용하여 철저한 검사를 수행하면 감염 여부를 파악하고 제거하는 데 도움이 될 수 있습니다. 유출 후에는 노출되었을 가능성이 있는 모든 비밀번호와 액세스 자격 증명을 재설정하는 것이 중요합니다. 조직의 IT 팀이나 사이버 보안 전문가에게 사고를 보고하면 적절한 조사 및 복구 프로세스를 보장할 수 있습니다. 악성코드가 깊숙이 침투한 심각한 경우에는 기기 무결성을 완전히 복원하기 위해 시스템을 완전히 재설치해야 할 수 있습니다.

마무리 생각: 이 위협을 과소평가하지 마세요

아마테라 스틸러는 모듈형, 상용화, 그리고 심층적인 침투성을 갖춘 사이버 범죄의 새로운 양상을 보여줍니다. 광범위한 기능과 기만적인 유포 전술로 인해 개인과 조직 모두에게 심각한 위협이 됩니다. 신원, 재정, 그리고 디지털 라이프를 보호하기 위해서는 이 악성코드를 신속하게 탐지하고 제거하는 것이 필수적입니다. 항상 경계하고 최신 정보를 파악하며 사이버 보안을 최우선으로 고려하십시오.