내용

---

2026년 5월 한 달 동안 수집된 신규 인포스틸러의 유포 채널, 악성코드 수량, 탐지 수량, 위장 대상 기업, 실행 유형 등을 정리한 보고서이다. 수집된 샘플은 ASEC(AhnLab SEcurity intelligence Center)의 자동 수집 시스템, 이메일 허니팟 시스템, 악성코드 C2 자동 분석 시스템과 AhnLab 제품 진단 로그를 기준으로 분석되었다.

목적 및 범위

---

이 보고서는 크랙(Crack)·키젠(Keygen) 등 불법 프로그램으로 위장한 인포스틸러와 이메일 유포 사례, macOS 유포 현황, 그리고 5월의 주요 변종과 C2 정보를 포함한다. 본문에 따르면 AhnLab TIP(Threat Intelligence Platform, 이하 ATIP)과 ATIP IOC 서비스에서 관련 정보와 C2 정보를 실시간으로 확인할 수 있다.

주요 통계

---

• 크랙 위장 유포에서는 ACRStealer, Remus, LummaC2 인포스틸러가 확인되었다.
• 유포 도메인으로는 mediafire.com, springsidefile.s3.us-east-1.amazonaws.com, good26.s3.us-east-1.amazonaws.com, mega.nz 등이 확인되었다.
• 위장 대상 기업은 Microsoft Corporation이 가장 많았고, Auslogics, NVIDIA Corporation, Virtual Holding Resources, LLC, Adobe Inc. 등이 뒤를 이었다.
• 실행 유형은 EXE 형식이 약 78.9%, DLL Sideloading(정상 EXE와 함께 악성 DLL을 로드하는 기법)이 약 21.1%였다.
• DLL Sideloading에 사용된 DLL로는 libvlccore.dll, VulcanMessage5.dll, LcMgr.dll, SDL2.dll이 확인되었다.
• macOS 환경에서는 ClickFix(악성 명령어를 복사해 터미널에서 실행하도록 유도하는 방식)와 악성 Bash 스크립트 다운로드 방식이 사용되었고, 5월에 스크립트 142개와 C2 도메인 12개가 수집되었다.
• Remus 인포스틸러가 본격적으로 유포되기 시작했으며, 5월 한 달간 해당 방식 유포 악성코드의 36%를 차지했다.
• 이메일 유포 사례에서는 AgentTesla와 DarkCloud가 확인되었다. AgentTesla는 FTP, Telegram, SMTP 등으로 정보 전송이 가능하며, 본 샘플은 SMTP를 사용했다. DarkCloud는 문서 파일, 키로깅 데이터, 이메일 클라이언트 정보, 브라우저 정보, 스크린샷, 암호화폐 지갑 정보 등을 수집할 수 있다.
• 전체 인포스틸러 통계에서는 LummaC2가 가장 많았고, Vidar, AgentTesla, ACRStealer가 활발히 유포되었다.

결론

---

인포스틸러 공격 그룹은 개인과 기업을 대상으로 다양한 유포 수단을 사용하고 있으며, 탈취된 정보는 다크웹에서 거래되거나 2차 공격에 활용될 수 있다. 보고서는 신뢰할 수 없는 웹사이트와 이메일의 링크 또는 첨부파일 열람, 크랙·키젠 사용, 브라우저 계정 저장 기능 사용에 주의하고, 중요 문서 암호화, 패스워드 주기적 변경, 2FA 인증 사용, 보안 소프트웨어 최신 유지가 필요하다고 정리한다.

MD5

03b24f56cafa09024e80b105c667b027

055df00e748fe55d5bbc0bd33067325e

0a437c4161b4ed8de7850f8de970824d

0b8a891324d65f3d9e08dd04980cb66e

0d1f6685b4e284f92ef25c0f9358bcdc

URL

http[:]//ablackb[.]shop[:]5321/

http[:]//ciuzdaw[.]shop[:]7673/

http[:]//cloxaa[.]shop[:]9895/

http[:]//comples[.]biz[:]8768/

http[:]//dafkov[.]shop[:]6843/