본문 바로가기

분석 정보/악성코드 분석 정보405

DeepLoad, 확장 프로그램으로 위장해 암호화폐 탈취 최근 크로미움 기반 브라우저 사용자를 대상으로 확장 프로그램을 강제로 설치해 암호화폐를 탈취하는 DeepLoad 악성코드가 발견됐다. DeepLoad는 사용자를 속여 명령 실행을 유도하는 ClickFix 기법을 이용해 유포되며 실행된 PowerShell 스크립트는 C&C 서버에서 Go 언어로 작성된 EXE 파일을 다운로드 및 실행한다. 해당 EXE는 악성 확장 프로그램의 구성 파일을 드롭한 뒤 브라우저에 직접 확장 프로그램을 설치하고 설치된 악성 확장은 정상적인 사용자 지갑 주소를 공격자의 암호화폐 지갑 주소로 치환함으로써 사용자가 인지하지 못한 상태에서 암호화폐를 공격자에게 전송한다. 악성 확장 프로그램의 구성 파일은 크롬 웹 스토어의 기존 다운로드 경로와 다른 폴더에 저장되며 크로미움 기반의 브라우저.. 2026. 4. 14.
감염형 코인마이너 XiaoBa XiaoBa는 중국어로 소형 버스를 의미하는 말로, 2017년 동명으로 활동하는 랜섬웨어가 처음으로 발견되었다. 이후 XiaoBa는 수 차례의 버전업을 거치다 랜섬웨어 기능을 포기하고 감염 기능을 가진 코인 마이닝 멀웨어로 노선을 변경했다. 최근 다시 전파되는 XiaoBa 변종은 Windows OS 의 실행 파일, 연결된 USB 드라이브를 감염시키고 시스템의 정상 기능을 마비시키기 때문에 주의가 필요하다. 멀웨어 은닉, 지속성 유지XiaoBa 는 중국의 보안 업체 Qihoo360 의 보안 프로그램으로 위장하고 있다는 점, 중국에서 활발하게 사용되는 EPL(Easy Programming Language)를 빌드하는 프레임워크 중 하나인 BlackMoon 으로 작성된 점으로 보아 기본적으로 중국을 공격 대.. 2026. 4. 14.
ISO 파일로 유포되는 Phantom Stealer 2025년 말에 오픈소스 코드를 이용해 제작 및 판매하던 Phantom Stealer의 다른 유형이 최근 발견됐다. 기존에는 여러 자바스크립트가 공격자의 C&C 서버와 통신하며 최종 페이로드인 Phantom Stealer를 다운로드하지만 이번 유형은 ISO 파일이 첨부된 피싱 메일로 사용자에게 ISO 이미지 마운트를 유도하고 Phantom Stealer를 실행하는 EXE 파일을 유포한다. ISO 이미지 내의 EXE 파일을 실행하면 스테가노그래피 기법으로 숨겨진 이미지에서 악성 DLL을 추출하고 파일리스 형태로 실행한다. 악성 DLL은 최종 페이로드인 Phantom Stealer를 실행하고 이전 사례와 비교해 악성 동작 실행 여부를 설정하는 Config 값은 다르지만 웹 브라우저 데이터 및 암호화폐 지갑 .. 2026. 2. 13.
NSIS 플러그인을 악용해 유포되는 Lumma Stealer 최근 NSIS 인스톨러의 기본 플러그인만을 이용해 Lumma Stealer를 유포하는 악성코드가 발견됐다. 해당 NSIS 샘플은 설치 데이터에 기본 플러그인 파일 외 다른 파일이 존재하지 않아 겉으로는 무해한 파일처럼 보이지만 실제로 실행하면 백그라운드에서 Lumma Stealer를 다운로드한다. NSIS 인스톨러 내부에는 설치 관련 동작을 정의하는 .nsi 스크립트가 포함돼 있으며 본 샘플은 이를 이용해 기본 플러그인 중 네트워크 기능을 제공하는INetC.dll의 API를 직접 호출하고 원격지에서 악성 파일을 다운로드하도록 설계됐다. 다운로드된 Lumma Stealer는 공격자가 운영하는 C&C 서버와 연결 후 시스템에서 정보를 탈취하고 추가 페이로드를 다운로드해 실행할 수 있다. 먼저 NSIS 샘플을.. 2026. 1. 29.
Yokai 백도어를 유포하는 SnakeDisk 웜 SnakeDisk 는 Mustang Panda 가 사용하는 USB 웜으로써 실행 시 전달되는 커맨드 인자에 따라 USB 감염 동작을 수행하거나 Yokai 백도어를 드롭해 실행할 수 있다. USB 감염 시 지리적 조건, 암호화된 설정 파일이 필요하며 감염 조건이 만족되면 시스템에 연결되는 USB 의 본래 파일들을 숨기고 최상위 경로에 SnakeDisk 와 실행 파일만 남겨 사용자의 실행을 유도한 SnakeDisk 는 바코드를 읽는 프로그램 Barcode Reader SDK 의 실행 파일 중 하나인 “SDTBarcode.dll” 파일로 위장하고 있다. Barcode Reader SDK 의 구성 파일 중 하나인 “SDTBarcodeDemo.exe” 는 실행 시 “SDTBarcode.dll” 파일을 로딩하는 .. 2025. 12. 24.
USB를 감지해 전파하는 HIUPAN 웜 U2DiskWatch, MISTCLOAK 라는 이름으로도 알려진 HIUPAN 은 Mustang Panda 가 사용하는 USB Worm 이다. 이 악성 파일은 DLL 파일로 정상 EXE 파일이 실행됨에 따라 악성코드를 로딩하는 DLL 사이드로딩 기법을 이용해 실행된다. 로딩된 악성 코드는 감염된 Windows 시스템에서 실행된 경우 주기적으로 시스템에 연결되는 USB 를 탐지 및 감염시키며 USB 에서 실행된 경우 연결된 Windows 시스템을 감염시키고 함께 복사된 Payload 악성 파일을 실행한다. HIUPAN은 정상 파일인 “UsbConfig.exe”의 구성요소인 “u2ec.dll”로 위장해 실행된다. “u2ec.dll” 은 이동식 디스크에서 실행될 시 연결된 시스템의 ‘C:\ProgramData.. 2025. 12. 24.