2025년 4월 인포스틸러 동향 보고서
본 보고서는 2025년 4월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 C2 정보를 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하고, ATIP를 통해 관련 정보를 제공하고 있다. Vidar, Cryptbot, Redline, Raccoon, StealC 등의 인포스틸러 악성코드가 유포된 이력이 있으며, 4월에는 LummaC2, Vidar, StealC 인포스틸러가 유포되었다.
그림 1. 악성코드 유포 페이지
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않았던, 즉 AhnLab에서 더 빠르게 수집한 악성코드 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다. 작년 4분기 이후로는 대체로 비슷한 수준의 유포 수량을 유지하고 있다.
차트 1. 연간 악성코드 유포 수량
공격자는 정상 사이트에 유포 게시글을 작성하는 방식으로 검색 엔진의 필터링을 우회하고 있다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 커뮤니티에 업로드 되어있는 유포 게시글이다.
그림 2. 정상 사이트(Pinterest)에 게시된 유포 게시글
그림 3. 정상 사이트(slideshare)에 게시된 유포 게시글
이러한 방식으로 유포되는 인포스틸러의 실행 방식 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL-SideLoading 기법을 사용하는 유형이 있다. 4월 한 달 동안 발생한 악성코드는 EXE 유형 약 86.8%, DLL-SideLoading 유형 약 13.1%의 비율이며, 지난달보다 DLL-SideLoading 유형의 샘플 수량이 감소한 모습을 보이는데, 유포 수량 자체는 평균적인 수치를 보였으나 StealC 등의 EXE 유형 악성코드가 다량 발생하며 비율이 크게 감소한 것이다. DLL-SideLoading 악성코드는 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 보안 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
그림 4. 타사 미탐 DLL 악성코드 예시
동향 #1
4월 중순 이후부터 StealC 악성코드가 대량으로 유포되었다. 일반적으로 하루 10개 정도의 샘플이 발생하는 것이 보통이었으나, 이 시기에는 대량의 StealC가 제작되어 유포되며 하루에 30개 이상의 악성코드가 발생하기도 했다. StealC는 인포스틸러 악성코드로, 사용자의 민감한 데이터를 탈취해 C2 서버로 전송한다. 이 악성코드는 작년 초에도 활발히 유포된 이력이 있으며, 관련 내용은 여러 콘텐츠를 통해 소개된 바 있다.
- [ASEC 블로그] 설치파일 위장 정보탈취 악성코드 주의(StealC)
https://asec.ahnlab.com/ko/62976/ - [ASEC Notes] Innosetup 인스톨러 플러그인을 악용한 악성코드 유포
https://atip.ahnlab.com/intelligence/view?id=3647f8dd-a285-4bdb-b8d7-71e3fce1b6a2
4월 한달 간 본 방식으로 유포된 악성코드 종류별 통계는 아래와 같다. StealC는 중순 이후부터 유포되었음에도 상당한 수량이 발생한 것을 확인할 수 있다.
차트 2. 4월 유포 악성코드 종별 비율
동향 #2
4월 말, 공격자는 패킹되지 않은 형태의 LummaC2를 유포하였다. LummaC2는 패킹이 풀리며 실행되는 상황이 아닐 경우 악성코드를 실행할지 여부를 묻는 메시지 박스를 출력하는 것이 특징이다. ‘예’ 버튼을 누를 경우에만 악성 행위가 발현되며, ‘아니요’를 누를 경우 악성코드가 종료된다. 이는 악성코드 제작 과정에서 공격자의 실수로 추정된다.
그림 5. 패킹되지 않은 LummaC2의 메시지 박스
동향 #3
LummaC2 악성코드에서 Telegram 또는 Steam을 경유지 C2로 활용하는 샘플이 다수 유포되었다. 악성코드는 실제 C2 주소를 얻기 위해 정상 사이트에서 공격자가 생성한 계정 페이지에 접속하여 C2 정보를 얻는다. 이러한 기법을 DDR(Dead Drop Resolver)라 한다. 올해 초 해당 기능을 가진 샘플이 잠시 유포된 이력이 있지만 4월에는 대다수의 LummaC2 악성코드가 Telegram과 Steam을 경유지 C2로 악용하였다. 경유지 C2 접속 시 암호화된 문자열의 계정 이름이 존재하며, 이를 ROT-11 복호화 하여 C2 주소로 사용한다.
그림 6. LummaC2의 경유지 C2 (Telegram)
그림 7. LummaC2의 경유지 C2 (Steam)
본 요약문에 언급되지 않은 통계에 대한 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
