정상 서명을 가진 백도어 악성코드, Steam 정리 툴로 위장하여 유포 중
유명 게임 플랫폼 Steam 클라이언트 정리 툴 “SteamCleaner”로 위장한 악성코드가 다수 유포 중이다. 해당 악성코드에 감염될 경우 악성 Node.js 스크립트가 사용자 PC에 상주하게 되고, C2와 주기적으로 통신하며 공격자의 명령을 실행할 수 있다. SteamCleaner는 Steam 클라이언트의 찌꺼기 파일을 정리해 주는 오픈소스 툴로, 2018년 9월을 마지막으로 더 이상 업데이트가 되지 않는
구글독스(Google Docs)를 C2로 활용하는 ACRStealer 인포스틸러
ASEC(AhnLab Security Intelligence Center)에서는 크랙 및 키젠 등의 불법 프로그램으로 위장하여 유포 중인 인포스틸러 악성코드를 모니터링하며, 관련된 동향 및 변화 사항을 Ahnlab TIP(AhnLab Threat Intelligence Platform), ASEC 블로그를 통해 소개하고 있다. 이러한 방식으로 유포되는 악성코드는 오랜 기간 동안 대부분 LummaC2 인포스틸러였으나, 최근 ACRStealer 인포스틸러가 본격적으로 유포되기 시작했다. 그림 1.
