✅ 보고서 제목: 스틸러-트래퍼(Stealer–Traffer) 생태계 분석
✅ 보고서 요약:
- 스틸러(Stealer)생태계는 Stealer 개발자인 Stealer Operator, Traffic Team의 Admin, Traffic Team에서 활동하는 Traffer로 구성됩니다.
- Traffic Team은 스틸러 악성코드를 조직적으로 유포하고 감염된 로그를 판매하여 수익을 창출하는 조직으로 Traffer, Traffic Team의 Admin으로 구성되며, 팀에 따라 기술 담당자 혹은 정산 관리자 등이 존재합니다.
📌 Traffer란 무엇인가요?
- Traffer는 스틸러 생태계에서 Traffic Team 내부에서 활동하는 공격자를 지칭하며, 주요 목적은 감염자 확보입니다.
- 수행 행위:
- 암호화폐 지갑 탈취
- 피싱 패널(Phishing Panel) 유포
- 악성 광고 유포
- 운영 구조:
- 주로 러시아어 기반 포럼에 Traffer를 구인하는 게시글이나 Traffic Team을 홍보하는 게시글을 업로드합니다.
- 게시글 내 텔레그램 Bot 링크를 통해 가입을 희망하는 Traffer가 직접 연락하여 팀에 참여하는 방식으로 운영합니다.
- 활동 규모:
- 분석 기간(2018-01 ~ 2025-08) 동안, Traffer 관련 게시글 활동이 가장 많은 포럼은 XSS 포럼 확인되었습니다.
- 해당 기간 동안 총 8,733개의 관련 게시글이 업로드되었습니다.
📌 Traffer의 악성코드 유포 방식
- Traffer는 다양한 방식을 사용하여 악성코드를 유포하며, 많은 트래픽을 악성 사이트로 유도하기 위해 검색 엔진 최적화(SEO)를 사용합니다.
1) 검색 엔진 최적화(SEO) 악용
- SEO는 일반적으로 Google, Yandex, Bing 등의 검색 엔진에서 특정 키워드에 대해 자신의 웹사이트나 페이지가 상위에 노출되도록 조작하는 기법을 뜻하지만, Traffic Team에서 활동하는 Traffer는 이를 악용하여 악성 링크나 피싱 페이지로 유도하는데 활용합니다.
- Lolz Guru 포럼에서 활동하는 xemplex SEO Team은 CTR 조작, 자동 Link Farm 구축, Panda, Penguin 알고리즘을 회피하는 방식으로 SEO를 사용합니다.
2) 타겟 환경 맞춤형 유포
- Traffic Team이 노리는 타겟 운영체제(OS) 및 브라우저 환경은 해당 조직이 사용하는 Stealer 악성코드의 종류에 따라 다르게 구성됩니다.
- 일부 Traffic Team은 사용하는 인포스틸러를 같이 기입하는 경우도 있습니다.
3) 사례 - Dungeon Team(Lolz Guru포럼 활동)
- Lolz Guru 포럼에서 활동하는 Traffic Team인 Dungeon Team의 홍보 게시글에서 Traffic Team이 활동하는 방식에 대해 분석하였습니다.
- Traffer가 Traffic Team에 가입하면 FUD Loader, Stealer 전용 Custom Crypter, 무료 SEO를 제공하며, Traffer와 관리자 간 65 : 35 비율로 수익을 분배합니다.
- Stealer Loader 내부에 Miner를 은닉하여 암호화폐 채굴을 수행하는 사례가 존재합니다.
🧑💻 보고서 작성자: Seungho Lee, Gahyun Choi | S2W TALON
👉 보고서 전문 보기: https://bit.ly/4oIQh0E
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.