2026년 3월 인포스틸러 동향 보고서
내용.
보고서는 2026년 3월 한 달간 수집된 인포스틸러 유포 동향과 사례를 분석한다. ASEC의 자동 수집 및 분석 시스템과 ATIP 실시간 IOC 서비스를 통해 수집된 데이터가 기반이다.
목적 및 범위.
분석 목적은 유포 수량, 유포 수단, 위장 기법 등의 추이를 파악하는 것이다. 대상은 윈도우와 macOS 환경에서 유포된 인포스틸러 샘플과 관련 C2 정보이다.
주요 통계.
윈도우용 유포 샘플은 EXE 유형이 약 82.6%이고 DLL SideLoading 유형이 약 17.4%이다. macOS 유포에서는 3월에 Bash 스크립트 472개와 C2 도메인 117개가 수집되었다. 주요 악성코드 계열로는 ACRStealer, Vidar, LummaC2가 다수 확인되었다.
주요 기법 및 사례.
공격자는 크랙·키젠 등 불법 소프트웨어 위장과 검색엔진 상위 노출(SEO Poisoning)을 활용한다. 정상 사이트 게시판·포럼·관리 취약 워드프레스에 게시글을 삽입하는 방식이 증가한다. DLL SideLoading은 정상 DLL과 외형상 유사하게 변조되어 탐지를 회피하는 특징이 있다. macOS 유포는 ClickFix 방식으로 악성 명령어를 클립보드에 동적 추가하여 터미널 실행을 유도하며, 샘플 해시가 분·시간 단위로 변하는 등 변형 속도가 매우 빠르다. Ren’Py 게임 패키지를 악용해 암호화된 데이터를 복호화·실행하는 ACRStealer 유포 사례가 확인되었다.
결론.
유포 기법의 다변화와 플랫폼별 특성으로 탐지 및 차단 난이도가 증가한다. 자동 수집·분석과 실시간 IOC 제공을 통한 빠른 대응이 중요하다. DLL SideLoading과 macOS ClickFix 같은 기법에 대한 모니터링과 검증 절차 강화가 필요하다.
