2025년 1월 인포스틸러 동향 보고서
본 보고서는 2025년 1월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO-Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하며, 관련 정보를 ATIP에 제공하고 있다. Vidar, Cryptbot, Redline, Raccoon, StealC 등의 인포스틸러 악성코드가 유포된 이력이 있으며 현재는 LummaC2 인포스틸러 악성코드가 주로 유포되고 있다.
그림 1. 악성코드 유포 페이지 예시
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않은, 즉 AhnLab에서 더 빠르게 수집한 샘플 수량을 의미한다. 자동 수집 시스템으로 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다. 유포 수량은 2분기부터 대폭 증가하기 시작했으며, 현재까지도 활발하게 유포되고 있다.
차트 1. 연간 악성코드 유포 수량
공격자는 정상 사이트에 유포 게시글을 작성하는 방식으로 검색 엔진의 필터링을 우회하고 있다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 GitHub에 게시된 악성코드 유포 게시글이다.
그림 2. 정상 사이트(GitHub)에 게시된 유포 게시글
동향 #1
DLL-SideLoading 유형에서, 12월 중순부터 악성 DLL 파일의 크기를 비정상적으로 늘린 악성코드가 유포되고 있다. 이는 파일 수집 및 진단을 방해하기 위한 목적으로 추정된다. 압축 파일은 작은 크기를 가지는데 압축 해제 시 비정상적으로 큰 크기의 실행 파일이 생성될 경우 악성코드일 가능성이 높으므로 주의해야 한다.
그림 3. 비정상적인 크기의 DLL 악성코드 예시
동향 #2
크랙 위장 유포 악성코드는 대부분 LummaC2 정보탈취 악성코드였으나, 12월부터는 LummaC2 외에 ACRStealer 인포스틸러 악성코드도 종종 모습을 보이기 시작했다. ACRStealer는 작년 6월경 최초 유포된 이후로 거의 모습을 보이지 않았다. 그러나 작년 12월부터 다시 모습을 보이기 시작하였으며, 올해 1월부터는 본격적으로 유포가 시작되었다. 1월 한 달 동안 약 26개의 ACRStealer 악성코드가 유포되었으며, 공격자는 주기적으로 주 사용 악성코드를 변경해왔던 사례로 보아, 유포 비율을 점점 늘려갈 가능성이 있다. 1월에 유포된 ACRStealer 악성코드는 중간 C2로 Google Docs를 사용한다는 특징이 있다.
본 요약문에 언급되지 않은 통계에 대한 상세 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
