2025년 2월 인포스틸러 동향 보고서
본 보고서는 2025년 2월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO-Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하며, 관련 정보를 ATIP에 제공하고 있다. Vidar, Cryptbot, Redline, Raccoon, StealC 등의 인포스틸러 악성코드가 유포된 이력이 있으며, 2월에는 LummaC2, Vidar, ACRStealer 인포스틸러 악성코드가 유포되었다.
그림 1. 악성코드 유포 페이지 예시
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않은, 즉 AhnLab에서 더 빠르게 수집한 샘플 수량을 의미한다. 자동 수집 시스템으로 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다. 유포 수량은 2분기부터 대폭 증가하기 시작했으며, 작년 4분기 이후로는 대체로 비슷한 유포량을 보인다.
차트 1. 연간 악성코드 유포 수량
공격자는 정상 사이트에 유포 게시글을 작성하는 방식으로 검색 엔진의 필터링을 우회하고 있다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 커뮤니티에 업로드 되어있는 유포 게시글이다.
그림 2. 정상 사이트(Tidal)에 게시된 유포 게시글
그림 3. 정상 사이트(SlideShare)에 게시된 유포 게시글
공격자는 주로 파일 호스팅 서비스를 통해 악성코드를 유포하고 있다. 여러 번의 리디렉션을 거쳐 Mega나 Mediafire 등의 사이트에서 다운로드된 파일에 주의해야 한다. 공격자는 2월 들어 Box 클라우드 플랫폼을 활용하여 일부 악성코드를 유포하기 시작했다.
그림 4. Box 클라우드 플랫폼 활용 유포 예시
동향 #1
DLL-SideLoading 유형 수량이 급감하면서, DLL-SideLoading 유형으로 위장한 형태의 유포 비율이 크게 늘었다. 다수 DLL 파일과 EXE를 함께 압축하여 유포하지만, 실제 악성코드는 EXE 하나인 경우이다. 이 경우 DLL 파일들은 악성코드 실행과는 관련이 없다. 사용자에게 더 그럴듯해 보이도록 임의 DLL을 추가하여 유포하는 것으로 추정된다. 혹은 탐지적 측면에서 DLL-SideLoading 유형으로 오인하도록 의도했을 가능성도 있어 보인다.
그림 5. 의미 없는 DLL 파일 예시
동향 #2
기존 크랙 위장 유포 악성코드는 대부분 LummaC2 인포스틸러였으나, 2월에는 Vidar 인포스틸러 샘플도 다수 유포되었다. Vidar는 과거 동일 캠페인에서 활발하게 유포되었으나, 2024년에는 거의 눈에 띄지 않았다. 그러나 올해 2월부터 유의미한 수량으로 유포되기 시작하였다.
차트 2. 2월 유포 악성코드 비율
2월 한 달 동안 유포된 악성코드 중 4% 정도 수량이 Vidar 이며, 그 중 기존에 없던 실행 유형이 확인되었다. 기존처럼 암호화된 압축파일로 유포되는 방식이 아닌, 악성코드 자체에서 비밀번호 입력을 요구하는 GUI 창을 출력한다. 비밀번호 입력 후 Run 버튼을 눌러야만 악성 행위가 시작되며 비밀번호는 내부 설명 파일에 명시되어 있다. 샌드박스 등의 분석 환경에서는 악성 행위가 발현될 수 없다. 관련 내용은 ASEC Notes에서도 언급한 바 있다.
그림 6. 비밀번호 입력 GUI 창
- [ATIP ASEC Notes] 비밀번호 입력을 요구하는 Vidar 인포스틸러 유포 주의
본 요약문에 언급되지 않은 통계에 대한 상세 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
