해커들이 온리팬스(OnlyFans) 계정을 노리고 공격을 시도하다가, 오히려 자신들이 가짜 도구에 감염되는 사건이 발생했다.

온리팬스는 창작자들이 사진, 영상, 라이브 스트리밍 등의 콘텐츠를 구독자들에게 유료로 제공할 수 있는 성인 콘텐츠 기반의 소셜 미디어 플랫폼이다. 주로 성인 콘텐츠로 유명하지만, 다양한 분야의 창작자들도 사용하고 있다. 창작자는 팬으로부터 구독료나 일회성 지불을 통해 수익을 얻으며, 콘텐츠의 유형은 성인용부터 음악, 피트니스, 요리 등의 다양한 주제를 포함한다.

온리팬스는 사용자에게 개인화된 유료 콘텐츠를 제공할 수 있는 구조를 가지고 있으며, 이 때문에 플랫폼이 빠르게 인기를 얻고 있다.

베리티 리서치가 밝혀낸 이 사건은 사이버 범죄의 복잡한 세계에서 누가 포식자이고 누가 먹잇감인지 모호해지는 순간을 잘 보여준다.

이 공격은 해커들이 온리팬스 계정을 탈취하기 위해 사용한다고 믿었던 ‘체커’ 도구가 사실 '룸마(Lumma)'라는 정보 탈취용 악성코드를 설치한다는 점이 드러난 것이다. 이 도구는 해커들에게 계정 자격 증명을 검증하고, 잔액 확인, 결제 정보 확인, 콘텐츠 제작자 권한을 확인할 수 있다고 홍보되었지만, 실제로는 해커 시스템에 룸마 악성코드를 심었다.

룸마는 2022년부터 해커들에게 월 250달러에서 1,000 달러 가격으로 제공되어온 Malware-as-a-Service(MaaS)다. 해킹된 시스템에서 암호, 2단계 인증 코드, 암호화폐 지갑 정보, 브라우저에 저장된 쿠키 및 결제 정보 등을 탈취하는 데 사용됐다. 이 악성코드는 깃허브 저장소에서 다운로드되며, 디즈니+, 인스타그램, 미라이 봇넷과 관련된 악성 파일로 위장돼 배포되었다.

룸마는 정보를 탈취하는 것 외에도 추가 악성 페이로드를 시스템에 심거나 파워쉘 스크립트를 실행할 수 있는 기능을 갖추고 있어, 피해자 시스템을 더 깊이 침투할 수 있다. 베리티 리서치는 해당 도구가 깃허브 계정 ‘UserBesty’를 통해 배포되고 있으며, 이는 사이버 범죄자들이 공격 대상인 해커들에게 자신들도 똑같이 피해를 입힐 수 있음을 보여주는 사례라고 밝혔다.

이 사건은 사이버 범죄자들 사이에서 흔히 일어나는 기만적 공격의 일환으로, 2022년에도 비슷한 방식으로 해커들이 가짜 RAT나 악성코드 제작 도구를 이용해 암호화폐를 탈취하려다 피해를 본 사례가 있었다. 

[PASCON 2024] 하반기 최대 사이버보안 컨퍼런스 초대!(보안담당자 7시간 보안교육이수)

▶주최: 데일리시큐

▶후원: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회   

▶대상: 정부·공공·공기업·정부산하기관·금융·의료·교육·일반기업 개인정보보호 및 정보보안 담당자 1,000여명 (단, 현업 보안실무자 이외 프리랜서, 학생, 일반인 등은 보안과 관련 없는 자는 참석 금지)

▶일시: 2024년 9월 10일 화요일 오전 9시~오후 5시

▶장소: 더케이호텔서울 2층 가야금홀+거문고홀A 및 로비

▶인원: 개인정보보호 및 정보보안 실무자 1,000여 명

▶전시회: 국내외 최신 보안솔루션 전시회(30여개 기업 참여)

▶참가비: 무료/1일 주차권 지급/점심식사는 제공하지 않습니다.

▶보안교육: 사전등록+현장참석+설문제출자에 한해 7시간 교육이수증 발급

▶사전등록: 9월 8일 오후 5시 마감

▶사전등록링크: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★