마이크로소프트(MS)가 암호화폐 지갑을 노리는 새로운 트로이목마(RAT)에 대한 경고를 내놨다.
MS 보안 대응팀은 17일(현지시간) 공식 블로그를 통해 암호화폐 지갑을 표적으로 한 새로운 원격 액세스 트로이목마 ‘StilachiRAT’을 발견했다고 발표했다.
‘StilachiRAT’는 구글 크롬 브라우저 익스텐션(확장 기능)을 통해 암호화폐 지갑 정보를 탈취하는 것이 핵심으로, 해당 악성코드는 지난해 11월 처음 발견됐다.
이 트로이목마는 클립보드 데이터를 감시해 암호화 키와 같은 민감한 정보를 가로챌 수 있다. 브라우저에 저장된 로그인 정보와 디지털 지갑 데이터를 훔치는 방식이다.
‘StilachiRAT’ 배포 후 암호화폐 지갑 관련 20개 확장 프로그램을 스캔해 주요 정보를 탈취한다. 이 확장 프로그램에는 코인베이스 월렛, 트러스트 월렛, 메타마스크, OKX 월렛 등이 포함된다.
마이크로소프트는 “StilachiRAT 핵심 모듈인 ‘WWStartupCtrl64.dll’을 분석한 결과, 탐지 회피 및 법의학 분석 방해 기능이 포함돼 있다”면서 “공격자는 이벤트 로그를 지우고, 샌드박스 환경에서 실행 여부를 확인해 보안 연구자 분석 시도를 차단할 수 있다”고 설명이다.
이어 “현재까지 StilachiRAT 배후는 정확하게 밝혀지지 않았지만, 광범위하게 확산된 정황은 보이지 않는다”면서 “다만 악성코드 생태계가 빠르게 변화하고 있기 때문에 지속적인 모니터링과 공유가 필요하다”고 강조했다.
한편, 체이널리시스의 ‘2025 암호화폐 범죄 보고서 – 제재’에 따르면 암호화폐는 범죄 수익을 얻고 자금을 세탁하는데 사용되고 있다.
보고서를 통해 보면 지난해 제재 대상 국가와 기관이 158억달러 상당의 암호화폐를 취득했다. 이는 전체 불법 암호화폐 거래의 39%를 차지하는 수준이다.
범죄자들은 스테이블코인, 탈중앙화금융(디파이, DeFi) 및 AI 기반 고급 돈세탁 기술을 채택해 범죄가 감소한 것처럼 착시 효과를 일으키는 방식을 주로 사용했다.
특히 북한, 러시아, 이란이 전통적인 금융 시스템을 우회하고, 블록체인을 활용한 대체 금융 네트워크를 적극적으로 구축하고 있는 것으로 나타났다.