본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

Spyware.Lokibot 악성코드 분석 보고서

보안공지 2021-04-21



Lokibot은 인포스틸러 악성코드로서 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 크리덴셜 정보를 탈취하는 기능을 가지고 있습니다. 수 년 전부터 꾸준히 유포되고 있는 악성코드이지만 현재까지도 꾸준히 배포되고 있습니다. Lokibot은 대부분 피싱메일을 통해 유포되고 있으며, 진단을 우회하기 위해 요즘은 주로 닷넷(.NET) 프로그램의 형태로 유포되고 있습니다.

 

[그림] 견적 요청 위장 피싱메일

Lokibot 악성코드는 주로 견적 요청과 같은 피싱메일로 유포되며, 닷넷(.NET) 패커로 제작되어 있으며, Lokibot 페이로드를 자식프로세스에 인젝션하여 동작하며, 여러 종류의 수집 대상 프로그램에서 저장하고 있는 크리덴셜 정보를 탈취하는 것을 주목적으로 합니다.

개인보다는 기업체를 타깃으로 하기 때문에 업무용으로 사용하는 PC의 크리덴셜 정보가 유출되면 더 큰 피해가 발생될 수 있어 주의가 필요합니다.

 

따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부 파일 혹은 URL 클릭을 삼가야 하며, 백신의 최신화 및 정기적인 검사를 습관화해야 합니다.

현재 알약에서는 해당 악성코드를 ‘Spyware.Lokibot’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.