최근 '클릭픽스(ClickFix)' 기법을 악용한 사회 공학적 캠페인을 통해 '캐슬로더(CastleLoader)' 멀웨어가 유포되면서 '루마스틸러(LummaStealer)' 감염이 급증하고 있는 것으로 나타났다.   루마C2(LummaC2)로도 알려진 루마스틸러는 서비스형 멀웨어(MaaS) 플랫폼으로 운영되는 정보 탈취 악성코드다.    지난 2025년 5월, 여러 IT 기업과 사법 당국이 공조하여 2,300개의 도메인과 악성 서비스를 지원하는 중앙 명령 구조를 압수하면서 활동이 중단된 바 있다.   정보 탈취 멀웨어는 웹 브라우저에 저장된 자격 증명 및 쿠키, 암호화폐 지갑 정보, 문서는 물론 세션 쿠키, 인증 토큰, VPN 설정, 계정 데이터 등 다양한 민감 데이터를 표적으로 삼는다.   법 집행 기관의 작전으로 루마스틸러 활동이 크게 위축되었으나, 2025년 7월부터 MaaS 운영이 재개되기 시작했다.   사이버 보안 기업의 최신 보고서에 따르면, 루마스틸러 운영 규모는 2025년 12월부터 2026년 1월 사이에 급격히 확대되었다.    현재 루마스틸러는 캐슬로더라는 멀웨어 로더를 통해 배포되고 있으며, 클릭픽스 기법에 대한 의존도가 높아지고 있다고 보고서는 경고했다.   보안 기업 연구원들은 "이러한 공격 캠페인의 핵심에는 루마스틸러가 배포망을 통해 확산되는 데 중추적인 역할을 하는 캐슬로더가 있다"며, "모듈식 인메모리 실행 모델, 광범위한 난독화, 유연한 명령 및 제어(C2) 통신 기능 덕분에 대규모 멀웨어 배포에 최적화되어 있다"고 설명했다.   2025년 초에 등장한 캐슬로더는 클릭픽스를 포함한 다양한 경로를 통해 스틸씨(Stealc), 레드라인(RedLine), 라다만티스(Rhadamanthys), 몬스터V2(MonsterV2), 캐슬RAT(CastleRAT), 섹톱RAT(SectopRAT), 넷서포트 RAT(NetSupport RAT), 웜쿠키(WarmCookie) 등 여러 종류의 정보 탈취 및 원격 접속 트로이목마를 배포해 왔다.   이 악성코드 로더는 고도로 난독화된 스크립트 기반(AutoIT 또는 Python)으로, 루마스틸러 페이로드를 메모리 내에서 직접 복호화하고 로드하여 실행한다.   특히 변수와 함수의 이름을 사전 기반으로 변경하거나, 런타임에 복호화되는 인코딩 문자열 사용, 대량의 정크 코드 및 실행되지 않는 분기 삽입, 단순한 결과를 도출하는 복잡한 산술·논리 연산 등 다중 난독화 기법을 적용해 분석을 방해한다.       [그림 1. 일반적인 감염 체인]     캐슬로더는 루마스틸러를 실행하기 전, 샌드박스 및 환경 검사를 수행하여 분석 시도 여부를 탐지하고, 호스트에서 감지된 보안 제품에 따라 파일 경로와 지속성 유지 위치를 조정한다.   지속성 유지는 악성 AutoIT 스크립트를 특정 경로에 복사하고 인터프리터를 별도 위치에 둔 뒤, 시작 프로그램에 해당 스크립트를 인수로 실행하는 인터넷 바로가기 파일을 생성하는 방식을 사용한다.   해당 보안 기업은 캐슬로더가 존재하지 않는 도메인에 대해 의도적으로 DNS 조회를 시도하여 DNS 오류를 유발한다는 사실을 발견했다.    이러한 네트워크 행위의 흔적은 캐슬로더의 활동을 탐지하는 지표로 활용될 수 있다.   지난 11월, 다른 보안 기업의 연구원들 역시 보고서를 통해 캐슬로더 인프라의 도메인 중 하나가 루마스틸러의 C2 서버 역할을 했다고 지적하며, 두 공격 그룹 간의 초기 연관성을 제기한 바 있다.   현재 루마스틸러는 트로이목마가 심어진 소프트웨어 설치 프로그램, 가짜 사이트나 토렌트에서 다운로드된 불법 복제 소프트웨어, 가짜 미디어 또는 게임 아카이브 등 다양한 경로를 통해 전 세계적으로 유포되고 있다.       [그림 2. LummaStealer 캠페인의 대상이 된 국가들]     이 연구원들은 특히 클릭픽스가 "루마스틸러 유포에 있어 매우 효과적인 감염 경로"라고 지목했다.    사용자는 가짜 캡차(CAPTCHA) 또는 인증 페이지를 노출받게 되는데, 여기에는 클립보드에 미리 복사된 악성 파워셸(PowerShell) 명령어를 붙여넣어 실행하도록 유도하는 상세 지침이 포함되어 있다.   이 명령어가 실행되면 공격자의 서버에서 악성 스크립트를 받아 로컬 컴퓨터에서 실행하게 된다.    이 과정에서 전달된 페이로드가 바로 캐슬로더이며, 이후 경우에 따라 루마스틸러 정보 탈취 악성코드를 추가로 불러와 실행한다.   보안 기업 연구원들은 이러한 위협을 방지하기 위해 신뢰할 수 없거나 비공식적인 출처에서 소프트웨어 및 미디어(특히 .EXE 확장자 파일)를 다운로드하거나 실행하지 말 것을 권장했다.   또한 웹사이트 검증 과정이라는 명목으로 파워셸이나 명령줄 유틸리티에 이해할 수 없는 명령어를 입력하라고 요구하는 것은 명백한 악성 활동의 징후다.   보안 전문가들은 일반적으로 불법 복제 소프트웨어(크랙, 언락 툴 등) 사용을 피하고, 광고 차단 도구를 사용하여 구글 검색 결과에 노출되는 악성 광고를 차단할 것을 당부했다.       출처 https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

    아웃룩(Outlook)용 추가 기능인 'AgreeTo'가 탈취되어, 4,000개 이상의 마이크로소프트(Microsoft) 계정 자격 증명을 훔치는 피싱 도구로 악용된 사실이 드러났다.   본래 아웃룩 사용자를 위한 정상적인 회의 일정 관리 도구였던 이 모듈은 한 독립 개발자가 제작하여 2022년 12월부터 마이크로소프트 오피스 추가 기능 스토어에 등록해 왔다.   오피스 추가 기능의 구조는 개발자 서버의 콘텐츠를 마이크로소프트 제품으로 불러오는 단순한 URL 연결 방식이다.    AgreeTo의 경우, 개발자는 Vercel 호스팅 URL(outlook-one.vercel.app)을 사용했으나, 상당한 사용자 기반을 확보했음에도 불구하고 프로젝트를 방치했다.   그러나 해당 추가 기능은 마이크로소프트 스토어에 계속 게시되어 있었고, 위협 행위자(Threat Actor)가 이 버려진 URL을 선점하여 피싱 키트를 심었다.       [그림 1. 마이크로소프트 마켓플레이스의 AgreeTo 추가 기능]     한 보안 기업의 연구진에 따르면, 프로젝트를 장악한 공격자는 가짜 마이크로소프트 로그인 페이지, 비밀번호 수집 페이지, 데이터 유출 스크립트 및 리디렉션 기능을 배포한 것으로 확인됐다.   주목할 점은 일단 추가 기능이 마이크로소프트 스토어에 등록되면 이후 별도의 검증 절차가 없다는 사실이다.    모듈 제출 시 마이크로소프트는 매니페스트 파일을 검토하고 승인 서명을 할 뿐이다.   AgreeTo는 이미 검토 및 승인이 완료된 상태였으며, 사용자 인터페이스를 포함한 모든 리소스를 개발자 서버에서 불러오게 되어 있었다.    현재 이 서버는 공격자의 통제하에 있다.       [그림 2. AgreeTo 매니페스트]     보안 기업 연구진은 침해 사실을 발견하고 공격자의 데이터 유출 채널에 접근했다.    그 결과 4,000건이 넘는 마이크로소프트 계정 자격 증명뿐만 아니라 신용카드 번호, 은행 보안 질문 답변까지 도난당한 사실을 확인했다.   이 추가 기능은 마이크로소프트가 이를 삭제한 당일까지 스토어에 남아 있었다.    보안 기업 측은 조사 과정에서 공격자가 탈취한 자격 증명을 실시간으로 테스트하고 있었다고 밝혔다.   사용자가 아웃룩에서 악성 AgreeTo 추가 기능을 실행하면, 일정 관리 인터페이스 대신 프로그램 사이드바에 가짜 마이크로소프트 로그인 페이지가 표시된다.    이는 실제 로그인 프롬프트와 구별하기 어려워 사용자가 속기 쉽다.   이곳에 입력된 계정 정보는 텔레그램 봇 API를 통해 공격자에게 전송되며, 이후 피해자는 의심을 피하기 위해 실제 마이크로소프트 로그인 페이지로 리디렉션된다.       [그림 3. 피싱 페이지(왼쪽) 및 정보 유출 로직(오른쪽)]     해당 추가 기능은 이메일을 읽고 수정할 수 있는 'ReadWriteItem' 권한을 보유하고 있었으나, 실제 이러한 권한이 악용된 정황은 확인되지 않았다.   보안 기업은 이번 공격의 배후가 인터넷 서비스 제공업체(ISP), 은행, 웹메일 제공업체 등을 타깃으로 하는 최소 12개 이상의 다른 피싱 키트도 운영하고 있음을 발견했다.   악성 추가 기능 자체가 새로운 수법은 아니며, 이전에도 스팸 포럼 댓글, 피싱 이메일, 멀버타이징(Malvertising) 등을 통해 유포된 사례가 있다.    그러나 AgreeTo 사태는 마이크로소프트 공식 마켓플레이스에 등록된 앱이 악성코드로 변질된 사례라는 점에 그 심각성이 있다.   보안 기업의 연구원은 매체와의 인터뷰에서 "이번 사례는 공식 마이크로소프트 마켓플레이스에서 발견된 최초의 멀웨어이자, 실제 환경에서 탐지된 최초의 악성 아웃룩 추가 기능"이라고 전했다.   현재 아웃룩에 AgreeTo가 설치되어 있다면 즉시 제거하고 비밀번호를 재설정해야 한다.    보안 매체는 연구진의 조사 결과에 대해 마이크로소프트 측에 입장을 문의했으나, 아직 답변을 받지 못했다.       출처 https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

    'ZeroDayRAT'으로 명명된 새로운 상용 모바일 스파이웨어 플랫폼이 텔레그램을 통해 사이버 범죄자들을 대상으로 광고되고 있다.    이 플랫폼은 감염된 안드로이드 및 iOS 기기에 대한 완전한 원격 제어 권한을 제공하는 도구로 홍보되고 있다.   이 악성코드는 구매자에게 감염된 기기를 관리할 수 있는 모든 기능을 갖춘 '관리자 패널'을 제공하며, 안드로이드 5부터 16 버전, 그리고 최신 iOS 26 버전까지 지원하는 것으로 알려졌다.   모바일 보안 기업의 연구진은 ZeroDayRAT이 단순한 데이터 탈취를 넘어 실시간 감시와 금전 탈취까지 가능하게 한다고 밝혔다.   대시보드에는 감염된 기기 목록과 모델명, 운영체제(OS) 버전, 배터리 상태, SIM 세부 정보, 국가, 잠금 상태 등의 정보가 표시된다.       [그림 1. 대시보드 개요]     이 악성코드는 앱 사용 기록, 활동 타임라인, SMS 메시지 교환 내역을 기록하며, **운영자(공격자)**에게 이에 대한 개요를 제공한다.   대시보드의 또 다른 추적 탭은 수신된 모든 알림과 감염 기기에 등록된 계정(이메일 및 사용자 ID)을 표시하며, 이는 무차별 대입(Brute-forcing) 공격이나 크리덴셜 스터핑(Credential Stuffing) 공격에 악용될 소지가 있다.   GPS 접근 권한이 확보될 경우, 악성코드는 피해자를 실시간으로 추적하여 구글 지도 상에 현재 위치와 전체 이동 경로를 표시할 수 있다.       [그림 2. 피해자 실시간 추적]     ZeroDayRAT은 수동적인 데이터 수집 외에도, 기기의 전·후면 카메라와 마이크를 활성화해 실시간 미디어 피드에 접근하거나, 피해자의 화면을 녹화하여 은밀한 정보를 노출시키는 등 능동적인 작업(Active operations)도 지원한다.     [그림 3. 카메라 및 마이크 피드 접근]     또한, SMS 접근 권한을 획득하면 수신되는 일회용 비밀번호(OTP)를 가로채 2단계 인증(2FA)을 우회하거나, 피해자의 기기를 이용해 직접 SMS를 발송할 수도 있다.   악성코드 개발자는 비밀번호, 제스처, 화면 잠금 해제 패턴 등 사용자 입력을 탈취할 수 있는 키로깅 모듈도 포함했다.   더 나아가 암호화폐 탈취 모듈을 통한 금융 범죄도 가능하다.    연구진에 따르면 해당 구성 요소는 메타마스크(MetaMask), 트러스트 월렛(Trust Wallet), 바이낸스(Binance), 코인베이스(Coinbase) 등의 지갑 앱을 탐지하는 스캐너를 활성화하고, 지갑 ID와 잔액을 기록한다.    또한, 클립보드 주소 바꿔치기를 시도해 사용자가 복사한 지갑 주소를 공격자의 주소로 대체하는 기능도 확인되었다.   이 뱅킹 정보 탈취 기능(Bank Stealer)은 온라인 뱅킹 앱, 구글 페이(Google Pay) 및 폰피(PhonePe)와 같은 UPI 플랫폼, 애플 페이(Apple Pay) 및 페이팔(PayPal) 등의 결제 서비스를 표적으로 삼는다.    이들은 가짜 화면을 띄우는 오버레이(Overlay) 방식을 통해 자격 증명을 훔친다.       [그림 4. 암호화폐 및 뱅크 스틸러 모듈]     보안 기업 측은 구체적인 유포 경로는 밝히지 않았으나, ZeroDayRAT을 "완벽한 모바일 침해 툴킷"이라고 규정했다.    연구진은 직원의 기기가 감염될 경우 기업 전체의 보안 침해로 이어질 수 있다고 경고한다.   개인의 경우, ZeroDayRAT에 감염되면 사생활이 노출되고 금전적 손실을 입을 수 있다.   따라서 사용자는 안드로이드의 구글 플레이(Google Play), iOS의 애플 앱스토어(App Store) 등 공식 스토어만 신뢰해야 하며, 평판이 검증된 게시자의 앱만 설치할 것이 권장된다.    고위험군 사용자는 iOS의 '차단 모드(Lockdown Mode)'나 안드로이드의 '고급 보호(Advanced Protection)' 기능 활성화를 고려해야 한다.       출처 https://www.bleepingcomputer.com/news/security/zerodayrat-malware-grants-full-access-to-android-ios-devices/