2025년 12월 인포스틸러 동향 보고서
본 보고서는 2025년 12월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색 엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 C2 정보를 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하고, ATIP를 통해 관련 정보를 제공하고 있다. 12월에는 ACRStealer, LummaC2, Stealc 인포스틸러가 주로 유포되었다.
그림 1. 악성코드 유포 페이지
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않았던, 즉 AhnLab에서 더 빠르게 수집한 악성코드 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다.
차트 1. 연간 악성코드 유포 수량
기존에는 공격자가 직접 제작한 블로그에 악성코드 유포 게시글을 작성했지만, 검색 엔진이 이러한 악성 블로그를 검색 결과에 노출하지 않도록 조치하기 시작했다. 공격자는 이를 우회하기 위해 정상 사이트에 게시글을 작성하는 방식으로 악성코드를 유포한다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 사이트에 업로드되어 있는 악성코드 유포 게시글이다. 이러한 방식으로 업로드된 게시글은 검색 엔진의 검색 결과에서 상위에 노출되어 다수의 사용자가 방문할 수 있게 된다. 최근에는 관리가 부실한 워드프레스 사이트를 공격하여 유포 게시글을 작성하는 경우가 많아지고 있다.
그림 2. 국내 지역 신문사 홈페이지에 게시된 유포 게시글
위와 같이 유포되는 인포스틸러의 실행 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜, 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL SideLoading 기법을 사용하는 유형이 있다. 12월 한 달 동안 발생한 악성코드는 EXE 유형 약 65.8%, DLL Sideloading 유형 약 34.2%의 비율이며, 지난달에 비해 DLL Sideloading 방식의 비율이 대폭 감소하였다. DLL Sideloading 방식을 사용하여 대량으로 유포되었던 다운로더형 악성코드의 유포가 감소한 영향이다. DLL SideLoading 유형의 악성코드는 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 보안 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
동향 #1
– python을 악용한 악성코드 유포, Python Sideloading
Python을 악용한 악성코드 유포 사례가 발견되었다. 공격자는 정상 Python 실행 파일과 라이브러리 폴더(Lib) 내부의 특정 Python 스크립트 파일(.py)에 악성 코드를 삽입한 후 함께 압축하여 유포하였다. 정상 Python 실행 파일을 실행하면, Lib 폴더 내부 특정 스크립트가 자동으로 실행되는데, 이 과정에서 공격자가 삽입한 악성 코드가 동작하게 된다. 공격자가 악용한 스크립트 파일은 다음과 같다.
– 경로
.\Lib\encodings\aliases.py
– md5
5cabcab4233affa40bb8ddd846270779 (Downloader/Python.Stealer)
– c2
hxxps://globalsnn3-new[.]cc/newSide.forester
공격자가 삽입한 악성 코드는 mshta를 통해 C2 URL에 접속하는 행위를 하며, 이후 최종적으로 ACRStealer 인포스틸러 악성코드를 실행한 것으로 확인된다.
그림 3. 악성 명령어가 삽입된 Python 스크립트
기존에는 주로 Python의 DLL 파일을 변조하여 DLL Sideloading 방식으로 악성코드를 유포해 왔으나, 이번 케이스에서는 실행 파일이 아닌 Python 스크립트(.py)를 악용하여 악성코드를 유포하였다. 이처럼 Python과 관련된 악성코드 유포 사례가 늘고 있으며, 지속적으로 새로운 유포 방식이 나타나고 있어 주의가 필요하다.
동향 #2
– Tor 활용 가상화폐 탈취 악성코드 유포
시스템에 상주하며 가상화폐를 탈취하는 유형의 악성코드가 활발하게 유포되고 있다. 12월 확인된 유포에서는 ClickFix 기법을 사용하였으며, 공격자는 워드프레스 사이트를 공격하여 유포 게시글을 다량으로 작성하고 있다. 유포 게시글에서 캡챠 코드 입력 시 악성 Powershell 명령과 복사 버튼이 활성화된다. 해당 명령어를 Powershell을 통해 실행하도록 유도한다.
그림 4. 악성코드 유포 게시글
사용자가 해당 명령을 실행할 경우 C2로부터 악성코드가 다운로드되어 실행된다. 해당 악성코드는 공용 사용자 디렉토리에 JavaScript 악성코드와 Tor Client 파일, 악성 행위에 사용되는 JOB 파일 및 BIP39 키워드가 작성된 텍스트 파일을 생성한다.
그림 5. 악성코드 생성 폴더
JavaScript 악성코드는 작업 스케줄러에 등록되어 주기적으로 실행되며, Tor Client 실행 파일인 “ugate.exe”를 실행하고 해당 프로세스를 통해 C2와 통신한다. 또한 은닉을 위해 작업 관리자가 실행될 경우 행위를 중단하고 종료한다.
주요 행위로는 클립보드를 모니터링하며 암호화폐 지갑 주소가 감지될 경우 공격자의 지갑 주소로 변조한다. 또한 BIP39 문자열이 감지될 경우 해당 내용을 C2로 전송한다. BIP39 문자열은 암호화폐 지갑 복구를 위한 키 데이터로 사용되며, 해당 데이터가 유출될 경우 암호화폐 지갑 전체가 탈취될 수 있다.
그림 6. C2 전송 데이터
– MD5
997748c5b3e24c6f42e63445bb252501 (EXE – Trojan/Win.PyAgent.R751791)
720bb8ccaa694dff1231f0876343fe0e (JS – Trojan/JS.Toragent.S3133)
– C2
hxxps://activatesoftinc[.]icu/zinfoz.dat (Powershell)
hxxp://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad[.]onion/route.php (JS)
본 요약문에 언급되지 않은 통계에 대한 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
