2025년 3월 인포스틸러 동향 보고서
본 보고서는 2025년 3월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO-Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하며, 관련 정보를 ATIP에 제공하고 있다. Vidar, Cryptbot, Redline, Raccoon, StealC 등의 인포스틸러 악성코드가 유포된 이력이 있으며, 3월에는 LummaC2, Vidar, ACRStealer, Rhadamanthys 인포스틸러가 유포되었다.
그림 1. 악성코드 유포 페이지 예시
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않은, 즉 AhnLab에서 더 빠르게 수집한 샘플 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다. 유포 수량은 2분기부터 대폭 증가하기 시작했으며, 작년 4분기 이후로는 대체로 비슷한 유포량을 보인다.
차트 1. 연간 악성코드 유포 수량
공격자는 정상 사이트에 유포 게시글을 작성하는 방식으로 검색 엔진의 필터링을 우회하고 있다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 커뮤니티에 업로드 되어있는 유포 게시글이다.
그림 2. 정상 사이트(Grabcad)에 게시된 유포 게시글
그림 3. 정상 사이트(Tableau)에 게시된 유포 게시글
공격자는 주로 파일 호스팅 서비스를 통해 악성코드를 유포하고 있다. 여러 번의 리디렉션을 거쳐 Mega나 Mediafire 등의 사이트에서 다운로드된 파일에 주의해야 한다. 3월에는 GitHub를 이용한 유포 또한 확인되었으며, 워드프레스 기반의 쇼핑몰 사이트에 악성코드를 업로드하여 유포한 사례도 확인되었다. 해당 사례에서는 이례적으로 유효한 서명을 가진 Rhadamanthys 인포스틸러가 유포되었다.
그림 4. 유효한 인증서로 서명된 Rhadamanthys 인포스틸러
동향 #1
지난 2월에는 DLL-SideLoading 유형 중 악성 DLL의 크기를 비정상적으로 늘린 사례를 언급하였다. 당시에는 악성 DLL 파일의 크기를 늘렸지만, 이번 달에는 정상 DLL을 조작하여 크기를 늘리고 악성 DLL 파일과 함께 유포한 사례가 다수 확인되었다. 정상 파일을 악성으로 오인하도록 하여 분석 및 진단을 방해하려는 의도로 파악된다. 아래 그림에서 용량이 큰 “MindClient.dll” 파일은 악성이 아닌, 크기만 늘어난 정상 파일이다.
그림 5. 용량을 늘린 정상 DLL 파일
동향 #2
3월부터 기존에 유포 이력이 없던 Rhadamanthys 악성코드가 다수 유포되었다. Rhadamanthys 악성코드는 정보탈취형 악성코드로, 정상 프로세스를 실행 후 인젝션하여 악성 행위를 한다. 또한 부모 프로세스를 다른 프로세스로 속이는 PPID Spoofing, x86 프로세스에서 x64 명령어를 실행하는 안티 디버깅 기법인 Heaven’s Gate, Indirect syscall, Ntdll 수동 매핑 등 여러 고난이도의 분석 방해 기법을 사용하는 것이 특징이다. TLS를 통해 C2와 통신하며 추가 모듈을 설치할 수 있어 다양한 악성 행위가 가능하다. 분석 시스템에서, Rhadamanthys가 ACRStealer 인포스틸러를 설치한 이력도 다수 확인되었다. 공격자는 기본적인 정보탈취 목적 외에 타 악성코드를 감염시키는 목적으로도 활용한 것으로 파악된다.
Rhadamanthys 인포스틸러는 2월 말 소량 유포되었고, 3월 초부터 본격적으로 유포되기 시작하였다. 3월 말에는 다시 LummaC2 인포스틸러가 주를 이루며 Rhadamanthys는 모습을 보이지 않고 있다.
차트 2. 3월 유포 악성코드 비율
3월 한 달 동안 유포된 악성코드 중 약 12%가 Rhadamanthys 인포스틸러로, 두 번째로 많은 수량이다.
동향 #3
DLL-SideLoading 유형의 악성코드가 MSI 형식으로 유포되었다. MSI 파일을 실행하면 특정 경로에 악성 DLL, 데이터 파일, 정상 EXE 파일을 생성하고 실행한다. 기존 유포 사례와는 달리 압축 파일에 암호가 설정되어 있지 않다. 유포량은 많지 않지만, 기존과 다른 유형이므로 주의가 필요하다.
그림 6. MSI 악성코드
실행 시 %AppData% 하위에 디렉토리를 생성한 후, EXE 파일과 해당 EXE를 구동할 때 필요한 정상 DLL, 악성 코드가 삽입된 악성 DLL, 데이터 파일을 생성한다. 이후 ABRequestDlg.exe를 실행하면, ABRequestDlg.exe는 악성 libcrypto-1_1.dll 파일을 로드하며 LummaC2 악성코드를 실행한다.
그림 7. MSI 악성코드 생성 파일
악성코드의 실행 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL-SideLoading 기법을 사용하는 유형이 있다. 3월 한 달 동안 발생한 악성코드는 EXE 유형 약 65.9%, DLL-SideLoading 유형 약 34.1%의 비율이며, 지난달보다 DLL-SideLoading 유형의 샘플 수량이 크게 증가했다. 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 AV 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
그림 8. 타사 미탐 DLL 악성코드 예시
본 요약문에 언급되지 않은 통계에 대한 상세 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
