* 출처는 안랩입니다.
사용자 웹브라우저의 로그인 정보등을 탈취하는 악성코드들이 많으니 늘 주의하셔서
피해가 없길 바라는 마음에 글을 소개합니다.
* 아래는 본문중 일부입니다.
안랩 시큐리티대응센터(이하 ASEC)는 2020년 6월 22일부터 28일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 최근 일주일 동안 급부상한 악성코드는 무엇일까?

이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동 4위를 차지했다.
대분류 상으로는 인포스틸러 악성코드가 43.1%로 1위를 차지하였으며, 그 다음으로는 원격 관리 도구(RAT) 악성코드가 14.6%, 랜섬웨어 악성코드가 8.7%를 차지하였다. Banking과 다운로더 악성코드는 8.3%, 2.1%로 그 뒤를 따랐다.

[그림 1] 2020년 6월 22일 ~ 28일, 1주간 국내 악성코드 수집 통계 결과
가장 주목할 만한 사항은 글룹테바가 19.1%를 차지, 에이전트테슬라(19.4%)와 함께 가장 많은 비율을 차지하며 급부상했다는 점이다. 글룹테바가 6월 국내에서 수집된 악성코드 Top5에 등장한 것은 이번이 처음이다([표 1] 참고).
[표 1] 2020년 6월 국내에서 수집된 악성코드 Top 5 (단위 주)

[그림 1] 2020년 6월 22일 ~ 28일, 1주간 국내 악성코드 수집 통계 결과
Top 1 – 에이전트테슬라(AgentTesla)
19.4%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포된다.
Top 2 – 글룹테바(Glupteba)
19.1%를 차지하는 글룹테바는 프로그래밍 언어 고(Go)로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 모네로(XMR) 코인 마이너를 설치하는 코인 마이너 악성코드이다. 현재 확인된 글룹테바는 대부분은 PUP(Potentially Unwanted Program)를 통해 다운로드되는 방식으로 유포되고 있다.
Top 3- 폼북(Formbook)
폼북은 인포스틸러 악성코드로서 6.9%를 차지하고 있다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포된다. 폼북 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, 클립보드 그래빙(Clipboard Grabbing), 웹 브라우저의 폼 그래빙(Form Grabbing) 등 다양한 정보를 탈취할 수 있다.
Top 4 (공동) – 로키봇(Lokibot) & njRAT
로키봇은 인포스틸러 악성코드로서 5.6%를 차지하고 있다. 대부분의 웹 브라우저, 메일 클라이언트, FTP 클라이언트들뿐만 아니라 메신저, 퍼티(Putty) 등의 프로그램도 그 대상이 된다. 또한 시스템에 상주하면서 키로깅 기능도 수행할 수 있다. 로키봇 악성코드도 최근에는 주로 스팸 메일 형태로 유포되며, C&C 서버가 fre.php로 끝나는 특징을 갖는다.
* 전체내용은 아래에서 확인하세요.