새로운 악성코드인 '트로그 그랩버(Torg Grabber)'가 700개 이상의 암호화폐 지갑을 표적으로 삼아 실제 공격에 사용되고 있다. 브라우저 기반 지갑 사용자, 특히 자기 보관 형태의 지갑을 사용하는 이들이 주요 타겟이 되면서 보안 경고가 강화되고 있다.

제네디지털(Gen Digital) 보고서에 따르면, 트로그 그랩버는 25개의 크로미움 기반 브라우저와 8종의 파이어폭스 브라우저에서 작동하며, 총 850개의 확장 프로그램을 스캔한다. 이중 728개는 암호화폐 지갑으로 확인되었으며, 메타마스크와 팬텀과 같은 주요 핫월렛도 포함되어 있다. 악성코드는 시드 문구, 개인 키, 세션 토큰을 암호화하여 외부로 유출한다.

감염은 'GAPI_Update.exe'라는 이름의 가짜 크롬 업데이트 파일로 시작된다. 이 파일은 약 60MB 용량으로 드롭박스를 통한 인프라로 배포된다. 사용자가 파일을 실행할 경우 정상 DLL 파일을 생성하여 흔적을 감춘다. 이후 약 420초에 걸쳐 '윈도우 보안 업데이트'라는 가짜 화면이 나타나게 되어, 이 시간 동안 실제 악성 페이로드가 설치된다. 마지막으로 생성되는 실행 파일은 임의의 이름으로 부여되어 시스템 내에서 추적이 힘들어진다.

데이터 탈취는 ChaCha20 암호화와 HMAC-SHA256 인증을 결합하여 진행되며, 클라우드플레어 인프라를 통해 전송된다. 일반적인 악성코드보다 훨씬 완성도가 높은 수준으로 평가받고 있다.

특히 이번 공격에서 주목해야 할 점은 '728개 지갑'의 수치이다. 이는 단순한 수집이 아니라, 사용자 수가 많은 브라우저 지갑을 체계적으로 포함한 결과이다. 트로그 그랩버는 특정 개인을 목표로 하지 않으며, 감염된 시스템 내에 존재하는 지갑 정보를 자동으로 수집한다. 예를 들어, 메타마스크와 같은 지갑은 월간 사용자 수가 수천만 명에 이를 정도로 방문자가 많기 때문에 주요 공격 대상이 된다.

특히 '자기 보관' 방식을 사용하는 사용자들은 큰 위험에 직면할 수 있다. 만약 시드 문구를 브라우저 저장소나 텍스트 파일, 심지어 비밀번호 관리자에 저장해 두었다면, 단 한 번의 감염으로 전체 자산을 잃을 위험이 존재한다. 반면, 거래소에 보관된 자산은 직접적인 공격 대상이 아니지만, 만약 세션 토큰이 유출되면 계정 접근의 위협이 발생할 수 있다.

연구진은 40개 이상의 운영자 태그와 텔레그램 ID를 통해 최소 8명의 운영자가 러시아 사이버 범죄 생태계와 관계가 있음을 파악했다. 트로그 그랩버는 '멀웨어 서비스(MaaS)' 형태로 운영되어, 가입자들이 자체 쉘코드를 추가하여 공격 범위를 확대할 수 있는 구조를 가지고 있다. 제네디지털은 이를 "정교한 REST API 기반 공격 시스템"이라고 평가했다.

현재 728개 암호화폐 지갑이 타겟으로 잡혀 있는 것은 단순 초기 스냅샷일 뿐이며, MaaS 구조의 특성상 운영자가 증가함에 따라 공격의 범위도 빠르게 확대될 수 있다. 이미 비다르(Vidar)와 레드라인(RedLine) 같은 기존 인포스틸러들이 유사한 방식으로 확산된 전례가 있으며, 트로그 그랩버는 더욱 정교한 인프라를 결합하여 사이버 공격의 새로운 트렌드로 자리잡을 가능성이 크다.

암호화폐 시장의 성장과 더불어 편리함 뒤에 숨겨진 보안 리스크에 대한 경계가 필요하다. 이번 사례는 자기 보관 환경에서 보안 관리가 단순한 선택이 아니며 필수 요소임을 다시 한 번 부각시켰다.