2025년 11월 인포스틸러 동향 보고서
본 보고서는 2025년 11월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다. 1) 데이터 출처 및 수집 방법 ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해,
정상 서명을 가진 백도어 악성코드, Steam 정리 툴로 위장하여 유포 중
유명 게임 플랫폼 Steam 클라이언트 정리 툴 “SteamCleaner”로 위장한 악성코드가 다수 유포 중이다. 해당 악성코드에 감염될 경우 악성 Node.js 스크립트가 사용자 PC에 상주하게 되고, C2와 주기적으로 통신하며 공격자의 명령을 실행할 수 있다. SteamCleaner는 Steam 클라이언트의 찌꺼기 파일을 정리해 주는 오픈소스 툴로, 2018년 9월을 마지막으로 더 이상 업데이트가 되지 않는
2025년 8월 인포스틸러 동향 보고서
본 보고서는 2025년 8월 한 달 동안 수집 및 분석된 인포스틸러 악성코드에 대한 유포 수량, 유포 수단, 위장 기법 등에 대한 통계와 동향 및 사례 정보를 제공한다. 아래는 보고서 원문 내용에 대한 요약이다. 1) 데이터 출처 및 수집 방법 ASEC(AhnLab SEcurity intelligence Center)에서는 인포스틸러 악성코드를 선제 대응하기 위해,
정상 프로젝트를 위장한 Github 저장소를 통해 SmartLoader 악성코드 유포
AhnLab SEcurity intelligence Center(ASEC) 에서는 최근 Github 저장소를 통해 SmartLoader 악성코드가 다수 유포되고 있는 정황을 확인하였다. 해당 저장소들은 정상적인 프로젝트로 위장해 정교하게 제작되었으며, 주로 게임 핵, 소프트웨어 크랙, 자동화 도구 등의 주제를 활용하여 사용자들의 관심을 끌고 있다. 저장소에는 README 파일과 압축 파일이 포함되어 있으며, 압축 파일 내부에 SmartLoader 악성코드가 존재한다.
새로운 버전의 ACRStealer, 활발한 변형과 함께 유포 중
ACRStealer는 작년부터 유포되기 시작한 인포스틸러 악성코드다. 올해 초부터 본격적으로 유포되기 시작했으며, ASEC에서는 DDR(DeadDropResolver) 기법으로 Google Docs와 Steam을 경유지 C2로 활용하는 ACRStealer에 대한 정보를 소개한 바 있다. [ASEC 블로그] 구글독스(Google Docs)를 C2로 활용하는 ACRStealer 인포스틸러 최근에는 새롭게 변형된 버전의 ACRStealer가 모습을 보이기 시작하여 활발히 유포되고 있다. 정보 탈취 기능
계정 비밀번호 크랙 도구로 위장한 랜섬웨어 주의 (확장자 .NS1419로 변경)
AhnLab SEcurity intelligence Center(ASEC)은 최근 계정 비밀번호 크랙 도구로 위장하여 유포되는 랜섬웨어를 발견했다. 이러한 비밀번호 크랙 도구는 주로 브루트 포스(Brute Force) 공격에서 활용된다. 브루트 포스(Brute Force) 공격은 가능한 모든 조합을 무차별적으로 시도하여 올바른 비밀번호를 찾아내는 방식으로, 공격자는 시스템의 인증 절차를 반복적으로 시도해 비밀번호를 탈취하려고 한다. 이 방식은 특히 짧거나 단순한 비밀번호를
크랙 프로그램으로 위장하여 유포되는 Atomic Stealer 악성코드 (macOS 환경 대상)
AhnLab SEcurity intelligence Center(ASEC)은 Evernote Crack 프로그램으로 위장하여 유포되는 Atomic Stealer 악성코드를 발견했다. Atomic Stealer 악성코드는 mac OS 기반의 정보 탈취형 악성코드로 브라우저, 시스템 키체인, 지갑, 시스템 정보를 탈취하며, 주로 pkg, dmg와 같은 설치 파일을 통해 유포된다. 악성코드를 유포하는 사이트에 접속하면, 크랙 설치 파일 다운로드를 유도하는 화면을 확인할 수
아랍어 기반 공격자에 의한 ViperSoftX 악성코드 유포 정황
AhnLab SEcurity intelligence Center(ASEC)은 아랍어를 사용하는 것으로 추정되는 공격자가 2025년 4월 1일 부터 최근까지 국내 대상으로 다수의 ViperSoftX 악성코드를 유포하는 정황을 확인하였다. ViperSoftX 악성코드는 주로 정상 소프트웨어 크랙 프로그램이나 토렌트로 유포되는 악성코드이다. ViperSoftX의 주요 특징은 파워쉘(PowerShell) 스크립트로 동작하며 C&C 통신 과정에서 URI 경로에 “/api/”, “/api/v1”, “/api/v2”, “/api/v3/”와 같은 파라미터 정보를
Total Commander Crack 으로 위장하여 유포되는 LummaC2 악성코드
Ahnlab SEcurity intellegence Center(ASEC)은 Total Commander라는 툴로 위장하여 유포되는 LummaC2 악성코드를 발견했다. TotalCommander는 Windows용 파일 관리자(File Manager)로, 다양한 파일 포맷을 지원하며 복사(Copy)및 이동(Move)기능과 파일 내부 문자열을 활용한 고급 검색 기능, 폴더 동기화, FTP/SFTP 기능 등 전반적인 파일 관리를 편리하게 해주는 툴이다. 해당 툴은 한 달간 무료 사용 이후, 정식 버전(유료)
구글독스(Google Docs)를 C2로 활용하는 ACRStealer 인포스틸러
ASEC(AhnLab Security Intelligence Center)에서는 크랙 및 키젠 등의 불법 프로그램으로 위장하여 유포 중인 인포스틸러 악성코드를 모니터링하며, 관련된 동향 및 변화 사항을 Ahnlab TIP(AhnLab Threat Intelligence Platform), ASEC 블로그를 통해 소개하고 있다. 이러한 방식으로 유포되는 악성코드는 오랜 기간 동안 대부분 LummaC2 인포스틸러였으나, 최근 ACRStealer 인포스틸러가 본격적으로 유포되기 시작했다. 그림 1.
