2025년 6월 인포스틸러 동향 보고서
본 보고서는 2025년 6월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색 엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 C2 정보를 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하고, ATIP를 통해 관련 정보를 제공하고 있다. 기존까지는 LummaC2가 압도적인 유포 비율을 보여주었지만 6월에는 LummaC2를 비롯해 Rhadamanthys, ACRStealer, Vidar, StealC 등의 다양한 인포스틸러가 유포되었으며, 특히 ACRStealer는 새로운 변종이 발생하여 많은 유포 수량을 기록하였다.
그림 1. 악성코드 유포 페이지
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않았던, 즉 AhnLab에서 더 빠르게 수집한 악성코드 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다. 6월에는 지난달보다 수량이 큰 폭으로 감소한 것을 확인할 수 있다. 기존에 활발하게 유포되던 LummaC2 인포스틸러의 수량이 감소한 영향으로 분석된다.
차트 1. 연간 악성코드 유포 수량
공격자는 정상 사이트에 유포 게시글을 작성하는 방식으로 우회하고 있다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 커뮤니티에 업로드 되어있는 유포 게시글이다.
그림 2. 정상 사이트(RNLA 홈페이지)에 게시된 유포 게시글
그림 3. 정상 사이트(SourceForge)에 게시된 유포 게시글
이러한 방식으로 유포되는 인포스틸러의 실행 방식 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL-SideLoading 기법을 사용하는 유형이 있다. 6월 한 달 동안 발생한 악성코드는 EXE 유형 약 94.4%, DLL-SideLoading 유형 약 5.6%의 비율이며, DLL-SideLoading 유형의 샘플 수량이 대폭 감소한 모습을 보인다. DLL-SideLoading 악성코드는 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 보안 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
동향 #1
새롭게 변형된 ACRStealer가 다수 유포되었다. ACRStealer는 2024년 처음 확인된 MaaS형 인포스틸러 악성코드로, 변형된 버전의 샘플이 5월 말부터 조금씩 모습을 보이다가 6월부터 본격적으로 유포되었다. 변형된 ACRStealer는 기존과는 다르게 NT 함수를 사용해 C2와 통신하며, HTTP 호스트 도메인 변조 기법을 사용하여 C2 통신 시 보안 제품을 우회할 수 있다. 또한 ntdll 수동 매핑, Heaven’s Gate 기법 등 다수의 분석 방해 기법이 추가되었다. 관련 내용은 아래 ASEC Notes에서 확인 가능하다. 현재 가장 변형이 활발한 인포스틸러 악성코드로 주의가 필요하다.
- [ASEC Notes] 새롭게 변형된 ACRStealer, 불법 툴 위장 유포 중
https://atip.ahnlab.com/intelligence/view?id=43ad6ef6-82e8-4b9c-8858-a70804163928
그림 6. VirusTotal의 ACRStealer C2 통신 기록(호스트 도메인 변조)
동향 #2
기존 유포 방식과 다른 특이한 유형의 악성코드가 유포되었다. 악성코드 실행 시 인스톨러 화면이 출력되고 설치 버튼을 누를 경우 악성코드를 특정 경로에 복사 후 자동실행 등록한다.
그림 7. 악성코드 실행 화면
- 악성코드 생성 경로
C:\Program Files (x86)\Windows NT\TableTextService\svchost.exe - 자동 실행 레지스트리 경로
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [TableTextServiceStartup]
이후 부팅 시 악성코드가 실행되면 웹 브라우저 윈도우 위에 컨트롤이 불가능한 윈도우를 생성한다. 해당 윈도우에는 브라우저 업데이트가 필요하다는 메시지가 작성되어 있으며, 버튼 클릭을 유도한다. 브라우저 윈도우를 완전히 덮어쓰므로 사용자는 브라우저를 이용하거나 종료할 수 없다.
그림 8. 웹 브라우저 위에 마스킹된 윈도우
업데이트 버튼을 클릭할 경우 Opera 브라우저 다운로드 페이지로 위장한 사이트로 연결되고, 다운로드 버튼을 누를 경우 파일이 다운로드된다. 분석 당시 정상 7z 설치 파일이 다운로드되었지만, 공격자가 원하는 시각 또는 특정 환경에서는 악성코드를 유포할 것으로 추정된다.
그림 9. 버튼 클릭 시 연결되는 페이지
동향 #3
내부 파일명이나 텍스트 파일에 압축 암호를 명시했던 기존 유형들과는 다르게, 그림 파일에 암호를 명시한 샘플이 다수 유포되었다. 공격자는 자동 암호 압축 해제 기능이 있는 보안 장비 또는 자동화 시스템을 우회하기 위해 지속적으로 노력하고 있으므로 주의해야 한다.
그림 10. 그림파일에 패스워드를 표기한 암호 압축파일
본 요약문에 언급되지 않은 통계에 대한 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
