PhantomStealer2 ISO 파일로 유포되는 Phantom Stealer 2025년 말에 오픈소스 코드를 이용해 제작 및 판매하던 Phantom Stealer의 다른 유형이 최근 발견됐다. 기존에는 여러 자바스크립트가 공격자의 C&C 서버와 통신하며 최종 페이로드인 Phantom Stealer를 다운로드하지만 이번 유형은 ISO 파일이 첨부된 피싱 메일로 사용자에게 ISO 이미지 마운트를 유도하고 Phantom Stealer를 실행하는 EXE 파일을 유포한다. ISO 이미지 내의 EXE 파일을 실행하면 스테가노그래피 기법으로 숨겨진 이미지에서 악성 DLL을 추출하고 파일리스 형태로 실행한다. 악성 DLL은 최종 페이로드인 Phantom Stealer를 실행하고 이전 사례와 비교해 악성 동작 실행 여부를 설정하는 Config 값은 다르지만 웹 브라우저 데이터 및 암호화폐 지갑 .. 2026. 2. 13. 오픈 소스 코드를 이용하는 Phantom Stealer Stealerium 은 2022년 교육적인 목적으로 오픈 소스로 공개된 정보 탈취형 악성 파일로, 분석가들이 악성 파일을 연구하는데 도움이 되기도 했지만 공격자들이 쉽게 유사한 변종을 제작할 수 있는 계기를 제공하기도 했다. Phantom Stealer 도 이러한 변종 중 하나로, Stealerium 과 유사하게 모듈화된 정보 탈취 기능을 이용해 사용자 인증 정보, 암호 화폐 관련 정보를 탈취하거나 추가 악성 파일을 다운로드하는 기능을 수행한다. 본 보고서에서 분석한 샘플은 다음과 같은 흐름에 따라 공격이 진행된다. 최초 실행되는 자바스크립트 이후의 후속 스크립트와 최종 페이로드(payload)는 디스크에 파일을 생성하지 않고 메모리상에서 즉시 실행되는 파일리스(Fileless) 기법을 사용한다. 공격.. 2025. 12. 24. 이전 1 다음
