​

이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동 4위를 차지했다.

대분류 상으로는 인포스틸러 악성코드가 43.1%로 1위를 차지하였으며, 그 다음으로는 원격 관리 도구(RAT) 악성코드가 14.6%, 랜섬웨어 악성코드가 8.7%를 차지하였다. Banking과 다운로더 악성코드는 8.3%, 2.1%로 그 뒤를 따랐다.

​

가장 주목할 만한 사항은 글룹테바가 19.1%를 차지, 에이전트테슬라(19.4%)와 함께 가장 많은 비율을 차지하며 급부상했다는 점이다. 글룹테바가 6월 국내에서 수집된 악성코드 Top5에 등장한 것은 이번이 처음이다([표 1] 참고).

​
[표 1] 2020년 6월 국내에서 수집된 악성코드 Top 5 (단위 주)

Top 1 – 에이전트테슬라(AgentTesla)
19.4%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 대부분 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(P.O. – Purchase Order) 등으로 위장한 스팸 메일을 통해 유포된다.

Top 2 – 글룹테바(Glupteba)​
19.1%를 차지하는 글룹테바는 프로그래밍 언어 고(Go)로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 모네로(XMR) 코인 마이너를 설치하는 코인 마이너 악성코드이다. 현재 확인된 글룹테바는 대부분은 PUP(Potentially Unwanted Program)를 통해 다운로드되는 방식으로 유포되고 있다.

Top 3- 폼북(Formbook)
폼북은 인포스틸러 악성코드로서 6.9%를 차지하고 있다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포된다. 폼북 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, 클립보드 그래빙(Clipboard Grabbing), 웹 브라우저의 폼 그래빙(Form Grabbing) 등 다양한 정보를 탈취할 수 있다.

Top 4 (공동) – 로키봇(Lokibot) & njRAT
로키봇은 인포스틸러 악성코드로서 5.6%를 차지하고 있다. 대부분의 웹 브라우저, 메일 클라이언트, FTP 클라이언트들뿐만 아니라 메신저, 퍼티(Putty) 등의 프로그램도 그 대상이 된다. 또한 시스템에 상주하면서 키로깅 기능도 수행할 수 있다. 로키봇 악성코드도 최근에는 주로 스팸 메일 형태로 유포되며, C&C 서버가 fre.php로 끝나는 특징을 갖는다.

5, 6%를 차지한 njRAT은 키로깅을 포함한 정보 유출 외에도 공격자의 명령을 수행할 수 있는 RAT 악성코드이다. 최근 수집되는 njRAT들은 대부분 특정 국산 무료 도메인 서비스에서 kro.kr나 p-e.kr와 같은 도메인 주소를 활용하여 악성 C2 서버 주소를 얻어온다. njRAT은 대부분 웹 하드나 토렌트를 통해 정상 파일로 위장하여 유포 중이다. 유포 시 위장하는 대상으로는 게임 핵이나 기프트카드 생성기와 같은 불법 프로그램이 다수 존재하며, 이 외에도 불법 공유 게임들에 포함되어 유포되는 경우가 많다.​
　

[출처 : 안랩(((www.ahnlab.com)]