2025년 8월 인포스틸러 동향 보고서
본 보고서는 2025년 8월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다. 1) 데이터 출처 및 수집 방법 ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해,
계정 비밀번호 크랙 도구로 위장한 랜섬웨어 주의 (확장자 .NS1419로 변경)
AhnLab SEcurity intelligence Center(ASEC)은 최근 계정 비밀번호 크랙 도구로 위장하여 유포되는 랜섬웨어를 발견했다. 이러한 비밀번호 크랙 도구는 주로 브루트 포스(Brute Force) 공격에서 활용된다. 브루트 포스(Brute Force) 공격은 가능한 모든 조합을 무차별적으로 시도하여 올바른 비밀번호를 찾아내는 방식으로, 공격자는 시스템의 인증 절차를 반복적으로 시도해 비밀번호를 탈취하려고 한다. 이 방식은 특히 짧거나 단순한 비밀번호를
Total Commander Crack 으로 위장하여 유포되는 LummaC2 악성코드
Ahnlab SEcurity intellegence Center(ASEC)은 Total Commander라는 툴로 위장하여 유포되는 LummaC2 악성코드를 발견했다. TotalCommander는 Windows용 파일 관리자(File Manager)로, 다양한 파일 포맷을 지원하며 복사(Copy)및 이동(Move)기능과 파일 내부 문자열을 활용한 고급 검색 기능, 폴더 동기화, FTP/SFTP 기능 등 전반적인 파일 관리를 편리하게 해주는 툴이다. 해당 툴은 한 달간 무료 사용 이후, 정식 버전(유료)
구글독스(Google Docs)를 C2로 활용하는 ACRStealer 인포스틸러
ASEC(AhnLab Security Intelligence Center)에서는 크랙 및 키젠 등의 불법 프로그램으로 위장하여 유포 중인 인포스틸러 악성코드를 모니터링하며, 관련된 동향 및 변화 사항을 Ahnlab TIP(AhnLab Threat Intelligence Platform), ASEC 블로그를 통해 소개하고 있다. 이러한 방식으로 유포되는 악성코드는 오랜 기간 동안 대부분 LummaC2 인포스틸러였으나, 최근 ACRStealer 인포스틸러가 본격적으로 유포되기 시작했다. 그림 1.
크랙 위장 악성코드 유포 주의 (V3 Lite 설치 방해)
AhnLab SEcurity intelligence Center(ASEC) 에서는 이전에 “MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OurcusRAT 등)” 포스팅을 통해 크랙 프로그램을 위장한 악성코드의 위험성을 소개한 바 있다. [1] 크랙 프로그램을 위장한 악성코드는 주로 웹 하드나 블로그, 토렌트를 통해 유포되어 다수의 시스템이 감염되는 경향이 있으며, 주기적인 업데이트를 통해 감염된 시스템이 공격자로부터 지속적으로
NiceRAT 악성코드를 설치하는 봇넷
1. 개요 AhnLab Security intelligence Center(ASEC) 에서는 2019년부터 유행하던 봇넷을 통해 최근까지 NiceRAT 악성코드가 설치되는 것을 확인하였다. 봇넷은 악성코드에 감염되어 공격자에 의해 제어되는 집단으로 과거에는 공격자가 주로 봇넷을 이용한 DDoS 공격을 수행하여, Nitol과 같은 DDoS 공격에 사용되는 악성코드를 봇넷을 구성하는 주요 악성코드로 주목하였다. 하지만 최근에는 NanoCore와 이모텟 악성코드와 같이 데이터
정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking)
정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종
Amadey Bot을 설치하는 Nitol DDoS 악성코드
ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다. Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을
악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개
한동안 유포가 중단되었던 크랙 위장 드로퍼 악성코드가 다시 활발하게 유포되고 있다. 해당 악성코드를 실행할 경우 동시에 수많은 악성코드에 감염된다. 악성코드 “폭탄”인 셈이다. 상용 프로그램의 크랙으로 위장한 악성코드 유포는 “단일 악성코드” 유형과 “드로퍼형 악성코드” 유형으로 양분되어 활발하게 유포되었다. ASEC 분석팀에서는 이러한 악성코드 유포를 상세히 모니터링 중이며 블로그 포스팅을 통해 여러 번
신종 정보 탈취 악성코드 “ColdStealer” 유포 중
ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우
