트렌드 악성코드

2026년 4월 인포스틸러 동향 보고서

  • 5월 19 2026
2026년 4월 인포스틸러 동향 보고서

내용

2026년 4월 한 달 동안 수집된 신규 인포스틸러의 유포 채널, 악성코드 수량, 탐지 수량, 위장 대상 기업 등의 동향을 정리한 보고서이다. 수집 대상은 ASEC의 자동 수집 시스템과 이메일 허니팟 시스템, AhnLab 제품 탐지 결과를 기반으로 한다.

목적 및 범위

보고서는 크랙(Crack)과 키젠(Keygen) 위장 유포, 이메일 유포, macOS 유포, 그리고 전체 인포스틸러 통계를 함께 다룬다. AhnLab 자체 구축 시스템, 이메일 허니팟, 악성코드 C2 자동 분석 시스템과 ATIP 실시간 IOC 서비스를 통해 수집 및 분석한 정보가 활용되었다.

주요 통계

  • 크랙 위장 유포에서는 4월에 ACRStealer, LummaC2, Remus 인포스틸러가 유포되었다. 유포는 SEO Poisoning(검색 결과 상위를 노리는 방식)과 파일 호스팅 서비스, 클라우드 스토리지, Mega, MediaFire 등을 통해 이뤄졌다.
  • 유포 도메인 수량은 springsidefile.s3.us-east-1.amazonaws.com 404, mega.nz 270, good26.s3.us-east-1.amazonaws.com 204, mediafire.com 185, getshared.com 18, com.s3.us-east-2.amazonaws.com 11 순으로 확인되었다.
  • 위장 대상 기업은 Microsoft Corporation 6건, Sysinternals – http://www.sysinternals.com 4건, JetBrains s.r.o. 3건, Cyber Holding Partners LLC 3건, Seiko Epson Corporation 3건 등이었다.
  • 실행 유형은 EXE 약 85.9%, DLL Sideloading 약 14.1%였다. DLL Sideloading에 사용된 악성 DLL은 python35.dll 18건, python36.dll 11건, python315.dll 7건, python310.dll 2건, borlndmm.dll 1건이었다.
  • macOS 환경에서는 ClickFix 기법(악성 명령어 복사 후 터미널 실행 유도)과 악성 Bash 스크립트 다운로드 방식을 사용하였다. 4월에는 스크립트 800개와 C2 도메인 33개가 수집되었다.
  • 신종 인포스틸러 Remus는 C2에서 설정을 순차적으로 받아 정보 탈취를 수행하고, 결과를 전송한 뒤 추가 설정을 요청하는 구조를 가진다. Dead Drop Resolver 기법을 사용하며 https://eth.llamarpc.com 을 통해 이더리움 스마트 컨트랙트를 조회한다. C2 통신에는 ChaCha20이 사용되며, 수신 및 송신 데이터의 키와 IV 위치가 다르다.
  • Remus 분석 당시 C2는 메일 클라이언트 정보, FTP 클라이언트 정보, 암호화폐 지갑 정보, 특정 경로 또는 특정 내용을 포함한 txt 파일을 탈취하도록 설정되었다. 최종 단계에서는 추가 악성코드 다운로드 기능도 확인되었다.
  • 이메일 유포 사례에서는 파키스탄 제조업 기업과 미국 제조 업체로 위장한 메일이 사용되었다. 첫 사례는 AgentTesla, 두 번째 사례는 DarkCloud 인포스틸러였다. AgentTesla는 FTP, Telegram, SMTP 등을 사용할 수 있으며, 본 샘플은 SMTP를 사용했다. DarkCloud는 문서 파일, 키로깅 데이터, 이메일 클라이언트 정보, 브라우저 정보, 스크린샷, 암호화폐 지갑 정보를 수집하며 본 샘플은 SMTP를 사용했다.
  • 전체 인포스틸러 통계에서는 LummaC2가 가장 많은 수량을 보였고, Vidar, AgentTesla, ACRStealer 등이 활발히 유포되었다.

결론

인포스틸러 공격 그룹은 다양한 유포 수단을 통해 기업과 개인 사용자 모두를 지속적으로 노리고 있다. 탈취된 정보는 다크웹에서 거래되거나 2차 공격에 활용될 수 있으므로, 신뢰할 수 없는 링크와 첨부파일 주의, 크랙·키젠 사용 금지, 브라우저 계정 저장 기능 주의, 중요 문서 암호화 보관, 패스워드 주기적 변경과 2FA 사용, 최신 보안 소프트웨어 유지가 필요하다.

MD5

05259414fde93e1fe88b89211392580f
05c7472954019bb04e98c709287e6981
0d94615194b814b339a4ff6624eca249
167629efa400492f62c344281a826beb
26a6ca061e5763b91eedb767b5494fd5
URL

http[:]//diggero[.]biz[:]8521/
http[:]//fightwa[.]biz[:]5902/
http[:]//fiinterchillers[.]com/wp-content/uploads/UVALnVYm[.]exe
http[:]//firewai[.]biz[:]48261/
http[:]//iuta[.]today[:]8521/

Tags:
Previous Post