2026년 6월 인포스틸러 동향 보고서

2026년 6월 인포스틸러 동향 보고서

내용


이 보고서는 2026년 6월 동안 수집된 신규 인포스틸러의 유포 채널, 악성코드 수량, 탐지 수량, 위장 대상 기업 정보를 정리한다. 수집 샘플은 ASEC(AhnLab SEcurity intelligence Center)에서 운영하는 자동 수집 시스템, 이메일 허니팟 시스템, 악성코드 C2 자동 분석 시스템을 통해 확보되었다.

목적 및 범위


보고서는 인포스틸러 악성코드의 유포 수량, 위장 기법, 유포 방식의 추이를 확인하는 용도로 활용되도록 작성되었다. 악성코드 유형은 AhnLab 샌드박스와 자동 분석 시스템 결과, 제품 진단명을 기준으로 구분되었다. 위장 기업 통계는 악성코드에 사용된 버전 및 인증서 정보를 바탕으로 추출되었으며, 해당 기업은 유포와 무관하다.

주요 통계


크랙(Crack)과 키젠(Keygen) 등 불법 프로그램으로 위장한 유포에서는 SEO Poisoning을 사용해 검색 결과 상위에 노출시키는 방식이 확인되었다. 6월에는 Remus, ACRStealer, LummaC2, Vidar가 유포되었다. 유포지는 mediafire.com, Mega, Cloud Storage 계열 사이트가 많았고, 위장 대상 기업은 Microsoft Corporation이 가장 많았다.

실행 유형은 EXE가 약 84.5%, DLL Sideloading이 약 15.5%였다. DLL Sideloading에서는 python37.dll, LcMgr.dll, python315.dll 등이 사용되었다. macOS 환경에서는 ClickFix(악성 명령어 복사 후 터미널 실행 유도)와 악성 Bash 스크립트 다운로드 방식이 사용되었고, 6월에는 스크립트 4개가 수집되었다.

macOS 유포의 한 변형은 Polygon 스마트 컨트랙트(블록체인 계약 데이터)를 조회해 C2 주소를 동적으로 얻는 방식으로 바뀌었으며, .plist 파일을 작성해 LaunchAgent로 실행하는 특징이 있었다.

이메일 유포 사례에서는 일본 재료 기업으로 위장한 메일에서 AgentTesla가, 인도 전자부품 제조 기업으로 위장한 메일에서 DarkCloud가 확인되었다. 둘 다 압축 첨부파일을 통해 실행 파일을 유도했고, SMTP를 사용해 정보를 전송했다.

결론


인포스틸러 공격 그룹은 크랙 위장, 정상 사이트 악용, 이메일, macOS 대상 유포 등 다양한 수단으로 기업과 개인 사용자에게 지속적으로 확산되고 있다. 탈취된 정보는 다크웹에서 거래되거나 2차 공격에 활용될 수 있어, 신뢰할 수 없는 링크와 첨부파일 주의, 불법 프로그램 사용 금지, 브라우저 저장 기능 주의, 중요 문서 암호화, 비밀번호 주기적 변경, 2FA 사용, 보안 소프트웨어 최신 유지가 필요하다.

MD5

02c7d78e6c5816f1df250f995a776aa2
03663f2f81da94cd204837e4bde772ff
03e99ceede013fe1b50a0e06c1f0a02c
042db31ea5443d78aeee714556813a28
04d91c168c7617c38199983858cfbb4e
FQDN

apdhlhs3[.]xyz
bduwih8[.]pro
johncon[.]my