레드타이거 악용 사례 — 디스코드·브라우저·지갑 탈취 인포스틸러 유포

레드타이거 악용, 디스코드·브라우저·지갑까지 훔치는 인포스틸러 유포 확인

공격자들이 오픈소스 침투테스트 도구인 레드타이거(RedTiger)를 악용해 디스코드(Discord) 계정, 결제정보, 브라우저에 저장된 자격증명, 게임 세션, 암호화폐 지갑 데이터를 훔치는 인포스틸러(정보탈취형 악성코드)를 제작·유포하고 있는 정황이 파악됐다. 이 사례는 넷스코프(Netskope)가 10월 23일 공개한 분석 보고서를 통해 처음 알려졌으며, 이후 여러 보안 매체에서 관련 분석이 이어졌다.

침투테스트 툴에서 악성코드 빌더로 변질된 레드타이거

레드타이거는 원래 네트워크 스캐너, 비밀번호 크래킹 모듈, OSINT 수집 기능, 디스코드 유틸리티 및 악성코드 빌더 등을 포함한 파이썬 기반의 모듈형 침투테스트 툴이다. 깃허브에 공개되어 있으며 사용 설명서에는 ‘교육용’이라는 문구가 있으나, 실질적 제약 장치가 없어 악의적으로 재사용되기 쉬운 구조를 가지고 있다.

보안 업계 보고서에 따르면 최근 레드타이거는 ‘바이러스 빌더’ 기능 개선과 지갑·게임·앱 세션 탈취 기능이 추가되면서 사이버 범죄자들의 관심을 끌고 있다.

디스코드·브라우저 데이터 정조준 방식

넷스코프 분석에서는 공격자들이 레드타이거 코드를 PyInstaller로 패키징해 단일 실행파일(EXE) 형태로 만든 뒤, 게임 파일이나 디스코드 관련 파일명으로 위장해 배포하는 수법을 사용한다고 밝혔다. 피해자가 실행하면 악성코드는 디스코드와 브라우저의 데이터베이스 파일을 탐색, 정규식(Regex)을 통해 토큰(암호화된 것과 평문 모두)을 추출한다.

추가로 악성코드는 디스코드 API를 호출해 프로필, 이메일, MFA(다중인증) 상태, 구독 정보 등을 수집하고, 디스코드 클라이언트의 index.js 파일에 악성 자바스크립트를 삽입해 로그인·결제·비밀번호 변경 등 사용자 이벤트를 가로채는 행위를 수행한다. 이 과정에서 결제 수단(예: PayPal, 저장된 카드) 정보도 탈취될 수 있다.

브라우저·지갑·게임 계정까지 광범위한 탈취

레드타이거 기반 악성코드는 브라우저에 저장된 비밀번호, 쿠키, 방문 기록, 확장 프로그램 정보, 신용카드 정보를 수집하며, 로컬 드라이브에서 .txt, .sql, .zip 등 민감 파일을 검색한다. 또한 화면 캡처와 웹캠 이미지 촬영 기능을 통해 피해자 시스템 정보를 함께 수집한다.

수집된 데이터는 압축되어 익명 업로드 가능한 클라우드 스토리지(예: GoFile)에 업로드되고, 공격자는 디스코드 웹훅(Webhook)을 통해 다운로드 링크와 피해자 메타데이터를 전달받는 방식으로 운영된다. 익명 업로드 서비스 사용으로 추적을 어렵게 만드는 전형적인 유포·수집 체계다.

분석 회피·방해 기법도 탑재

해당 악성코드는 샌드박스·디버거가 탐지되면 즉시 종료하는 로직 외에도, 분석을 방해하기 위해 400개 이상의 프로세스 생성이나 100개 이상의 임의 파일 생성 등 시스템 자원을 과도하게 소모시키는 ‘소음(noise)’ 기법을 사용한다. 이는 포렌식 및 동적 분석을 어렵게 만들기 위한 의도적 설계로 평가된다.

확산 지역·유포 경로

넷스코프는 현재 공격자들이 주로 프랑스 지역 디스코드 이용자를 표적으로 삼고 있다고 밝혔다. 유포 경로는 디스코드 채널, 불법 ‘모드(Mod)’·‘트레이너(Trainer)’ 제공 사이트, 게임 커뮤니티, 악성 광고(Malvertising), 튜토리얼을 가장한 유튜브 동영상 등으로 추정된다.

오픈소스 보안 도구의 역설 — 양날의 검

보안 전문가들은 이번 사례를 통해 오픈소스 기반 보안 도구가 얼마나 쉽게 악용될 수 있는지를 경고한다. ‘보안 연구용’으로 공개된 도구라도 제약이 없고 빌드·패키징이 쉬우면 범죄자에게는 곧바로 악성 생태계의 도구가 될 수 있다.

사용자·기업은 비공식 채널에서 제공되는 실행파일을 다운로드하지 말고, 브라우저와 디스코드 계정의 토큰·인증 상태를 정기적으로 점검하며, 의심스러운 파일은 격리 환경에서만 분석해야 한다는 권고가 나온다.

권고사항(요약)

• 공식 배포처 외 실행파일/게임 도구 다운로드 금지
• 브라우저 저장 비밀번호·결제수단 정기 점검 및 저장 정보 최소화
• 디스코드 토큰·계정 보안 점검(이상 로그인·MFA 설정 확인)
• 의심 파일 발견 시 네트워크 분리 후 격리환경에서 분석
• 기업 환경에서는 엔드포인트 탐지·차단(EDR) 및 파일 무결성·행위기반 모니터링 강화

반응형