2025년 말에 오픈소스 코드를 이용해 제작 및 판매하던 Phantom Stealer의 다른 유형이 최근 발견됐다. 기존에는 여러 자바스크립트가 공격자의 C&C 서버와 통신하며 최종 페이로드인 Phantom Stealer를 다운로드하지만 이번 유형은 ISO 파일이 첨부된 피싱 메일로 사용자에게 ISO 이미지 마운트를 유도하고 Phantom Stealer를 실행하는 EXE 파일을 유포한다. ISO 이미지 내의 EXE 파일을 실행하면 스테가노그래피 기법으로 숨겨진 이미지에서 악성 DLL을 추출하고 파일리스 형태로 실행한다. 악성 DLL은 최종 페이로드인 Phantom Stealer를 실행하고 이전 사례와 비교해 악성 동작 실행 여부를 설정하는 Config 값은 다르지만 웹 브라우저 데이터 및 암호화폐 지갑 정보 등을 탈취하는 동작은 동일하다.
2025.12.24 - [분석 정보/악성코드 분석 정보] - 오픈 소스 코드를 이용하는 Phantom Stealer
Phantom Stealer 유포 초기에는 러시아어로 작성된 송금 확인 내용의 피싱 메일이 사용된다. 메일에 첨부된 ZIP 압축 아카이브를 해제하면 동일한 파일명의 ISO 파일이 존재하며 사용자에게 가상 드라이브로 마운트 한 뒤 내부에 존재하는 EXE 파일을 실행하도록 유도한다.
EXE 파일에는 Phantom Stealer를 실행하는 악성 DLL이 BMP 이미지 내부에 스테가노그래피 기법으로 숨겨져 있다. BMP 이미지는 리소스 데이터 내에 “de”라는 객체로 존재하고 이미지 픽셀의 시작부터 세로값을 증가시키며 읽어와 DLL 데이터로 만든 뒤 Load 메소드로 실행한다. BMP 이미지에서 추출한 데이터는 난독화된 DLL 파일로 파일 내의 암호화된 데이터를 복호화하고 최종 페이로드인 Phantom Stealer를 실행한다.
Phantom Stealer는 이전에 자사에서 분석한 악성코드와 같은 샘플이며 웹 브라우저에 저장된 정보와 아웃룩 메일 데이터 등의 정보를 탈취한다. 이전 샘플과 비교해 키로깅 등의 악성 동작 수행 여부를 정하는 설정 값과 수집 정보의 유출 경로가 공격자의 SMTP 서버 주소에서 텔레그램 주소로 달라진 점으로 보아 빌더로 제작된 또다른 파일로 확인된다. 정보 탈취 동작 외에는 ‘%AppData%’ 경로에 자가복제한 뒤 윈도우 디펜더 예외항목으로 추가해 탐지되지 않게 하고 작업 스케줄러에 운영체제 부팅시 자동 실행으로 작업을 등록해 지속성을 확보한다.
Phantom Stealer는 기존에 교육적인 목적으로 제작해 공개됐지만 공격자는 이를 악용해 피싱 메일과 정상 파일 위장 으로 사용자를 속이거나 스테가노그래피 기법으로 악성코드를 숨기며 사용자의 실행을 유도한다. 이처럼 교육적이거나 테스트를 목적으로 제작해 공개했다고 한들 공격자가 이를 악용할 수 있어 주의가 필요하다. 따라서 보안 프로그램을 주기적으로 업데이트해 최신 버전으로 유지하며 의심스러운 파일을 실행하기 이전에 보안 프로그램 검사 진행을 권고한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| NSIS 플러그인을 악용해 유포되는 Lumma Stealer (0) | 2026.01.29 |
|---|---|
| Yokai 백도어를 유포하는 SnakeDisk 웜 (0) | 2025.12.24 |
| USB를 감지해 전파하는 HIUPAN 웜 (0) | 2025.12.24 |
| 태국을 대상으로 유포되는 Yokai 백도어 (0) | 2025.12.24 |
| DLL 사이드 로딩으로 실행하는 ToneShell 백도어 (0) | 2025.12.24 |
