2월 첫째 주 가장 많이 발견된 악성코드, 1위 정보탈취형 ‘AgentTesla’ (보안뉴스, 권준 기자, 2021.02.12.)
안랩 ASEC에서 발표한 2월 첫째 주 악성코드 통계에 따르면, 정보를 탈취하는 인포스틸러 악성코드가 전체의 70.9%를 차지하였으며, 코인마이너(13.7%), RAT 악성코드(13.2%)가 그 뒤를 이었다.
아래는 상위 1~5위 악성코드 표본을 분석한 내용이다.
1. AgentTesla (22.9%)
AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출한다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O.–Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 위와 같은 이름이 사용된다. 또한, 확장자의 경우 pdf, xlsx와 같은 문서 파일이나 .dwg 즉 Auto CAD 도면 파일로 위장한 것들도 다수 존재하는 것으로 분석됐다.
2. Formbook (19.4%)
다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.
3. Lokibot (14.1%)
Lokibot은 웹브라우저, 메일 클라이언트, FTP 클라이언트 등의 프로그램들에 대한 정보를 유출한다. 스팸 메일을 통해 유포되는 다른 악성코드들처럼 스팸 메일 형태로 유포된다.
4. Glupteba (13.7%)
Glupteba는 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR(모네로) 코인 마이너를 설치하는 게 주 목적이다. Glupteba는 실행되면 UAC Bypass를 거쳐서 TrustedInstaller의 권한을 이용해 시스템 권한을 갖게 된다. 그리고 C:Windowsrsscsrss.exe 이름으로 정상 프로세스를 위장하여 시스템에 상주한다. 이후 추가 모듈을 다운로드하는데, 그 대상으로는 프로세스 및 파일들을 숨기기 위한 루트킷 드라이버들이 있으며, 최종적으로 설치되는 악성코드는 XMR 코인 마이너 및 SMB 취약점을 통한 전파를 위한 이터널 블루(Eternal Blue) 패키지가 있다. 현재 확인된 Glupteba 대부분은 PUP를 통해 다운로드되는 방식으로 유포 중이다.
5. Smoke Loader (7.5%)
스모크로더(Smoke Loader)는 인포스틸러 및 다운로더 악성코드로서 지난 2011년부터 오랜 기간 동안 공격자들에 의해 사용되며 최근까지도 꾸준히 유포되고 있다. 특히, 2018년에는 암호화폐 채굴 악성코드 유포에 사용되는 등 다양한 기능뿐만 아니라 탐지를 회피할 수 있는 여러 기법들로 인하여 공격자들로부터 꾸준한 수요가 있는 악성코드라는 게 안랩 ASEC 분석팀의 설명이다.