2025년 10월 인포스틸러 동향 보고서
본 보고서는 2025년 10월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색 엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 C2 정보를 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하고, ATIP를 통해 관련 정보를 제공하고 있다. 10월에는 Rhadamanthys, ACRStealer, LummaC2 인포스틸러가 주로 유포되었다. LummaC2의 경우 9월 말 수량이 급감하였지만 10월 말부터 다시 활발하게 유포되기 시작하였다.
그림 1. 악성코드 유포 페이지
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않았던, 즉 AhnLab에서 더 빠르게 수집한 악성코드 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다.
차트 1. 연간 악성코드 유포 수량
기존에는 공격자가 직접 제작한 블로그에 악성코드 유포 게시글을 작성했지만, 검색 엔진이 이러한 악성 블로그를 검색 결과에 노출하지 않도록 조치하기 시작했다. 공격자는 이를 우회하기 위해 정상 사이트에 게시글을 작성하는 방식으로 악성코드를 유포한다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 커뮤니티에 업로드되어 있는 악성코드 유포 게시글이다. 이러한 방식으로 업로드된 게시글은 검색 엔진의 검색 결과에서 상위에 노출되어 다수의 사용자가 방문할 수 있게 된다.
그림 2. 정상 사이트(slideshare.net)에 게시된 유포 게시글
그림 3. 정상 사이트(youtube.com)에 게시된 유포 게시글
위와 같이 유포되는 인포스틸러의 실행 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜, 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL SideLoading 기법을 사용하는 유형이 있다. 10월 한 달 동안 발생한 악성코드는 EXE 유형 45.0%, DLL SideLoading 유형 55.0%의 비율이며, 지난달에 비해 DLL Sideloading 방식의 비율이 대폭 증가하였다. 실제로 DLL 유포 건수 자체가 증가하기도 하였으며, 악성 DLL을 2개 이상 사용한 샘플이 일부 포함되어 영향을 준 것으로 풀이된다. LummaC2는 주로 EXE 방식을, ACRStealer는 주로 DLL Sideloading 방식을 사용하여 유포되었다. DLL SideLoading 악성코드는 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 보안 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
동향 #1
– 새로운 유형의 Loader 악성코드 대량 유포
C2에 접속하여 C2의 명령에 따라 악성코드 설치하거나 악성 파워쉘 명령어를 실행하는 다운로더형 악성코드가 대량 유포 중이다. 정상 DLL과 유사하게 제작된 기존 유형들과는 다르게, 원본 DLL과 다른 형태의 DLL을 제작하여 대량으로 유포하는 전략을 사용한다. 또한 암호화된 쉘코드 파일 이름이 기존에는 유포 시마다 달라졌지만, 해당 악성코드는 “._” 로 일정하다는 특징이 있다.
그림 4. 신규 DLL Sideloading 유형 구조
실행 시 C2에 접속하여 설정 데이터를 다운로드하며, 해당 설정에 따라 악성 행위를 수행한다.
C2 접속 형식으로 “/nfront.php”, “/nback.php” 경로를 사용한다는 특징이 있다.
[C2]
hxxps://evgshippingline[.]com/nfront.php (설정 파일 수신)
hxxps://evgshippingline[.]com/nback.php (실행 결과 전송)
/nfront.php에 접속해 암호화된 설정 데이터를 다운로드하며, 해당 파일에는 추가 악성코드를 설치하기 위한 URL과 복호화 키, 이후 실행할 파워셸 명령어 등이 포함되어 있다. 분석 당시에는 이 설정을 통해 Rhadamanthys 인포스틸러를 다운로드해 실행하였으며, 파워쉘 명령어는 브라우저 플러그인을 악성 스크립트로 교체하는 파워쉘 스크립트를 C2로부터 다운로드해 실행하는 기능을 하였다.
[다운로드 URL]
hxxps://mijnplug[.]com/vPByUaGJ/149.bin (암호화된 추가 악성코드)
hxxps://jpg.namaramalan[.]com/6joCvF/2110.txt (인코딩된 파워쉘 스크립트)
그림 5. 설정 데이터
동향 #2
– LummaC2 인포스틸러의 유포량 변동
LummaC2 인포스틸러는 오랜 기간 동안 압도적으로 가장 많은 유포 수량을 기록해 왔다. 그러나 최근에는 일정 기간 유포가 중단되는 사례가 반복적으로 관찰되고 있다. 이는 타 악성코드로의 전환 등 공격 전략 변화의 신호일 가능성이 있어 주의가 필요하다.
차트 2. LummaC2 유포량
본 요약문에 언급되지 않은 통계에 대한 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
