디지털 보안 기업 ESET가 2023년 12월부터 2024년 5월까지 ESET 텔레메트리와 ESET 위협 탐지 및 연구 전문가의 관점에서 본 위협 환경 동향을 요약한 최신 위협 보고서를 발표했다.

보고서에 따르면, 지난 6개월 동안 안드로이드 금융 위협과 모바일 뱅킹 자금을 노리는 악성코드가 증가하는 추세를 보였다. 이는 전통적인 은행 악성코드 뿐만 아니라 암호화폐 탈취자 형태로도 나타난다. 특히, 정보 탈취 악성코드는 이제 생성AI 도구를 가장하고 있으며, 새로운 모바일 악성코드 ‘골드픽액스(GoldPickaxe)’는 얼굴 인식 데이터를 훔쳐 딥페이크 비디오를 생성하여 사기 금융 거래를 인증하는 데 사용되고 있다.

또한, 온라인 멀티플레이어 게임에서 사용되는 비디오 게임 및 치트 도구에도 레드라인 스틸러(RedLine Stealer)와 같은 정보 탈취 악성코드가 포함되어 있으며, 2024년 상반기 ESET 텔레메트리에서 여러 탐지가 관찰되었다.

지리 크로팩(Jiří Kropáč) EST 위협탐지 이사는 " 골드픽액스는 안드로이드와 iOS 버전을 모두 가지고 있으며, 현지화된 악성 앱을 통해 동남아시아의 피해자들을 대상으로 하고 있다. ESET 연구원들이 이 악성코드 패밀리를 조사하면서, 골드픽액스 구버전인 골드디거플러스(GoldDiggerPlus)가 라틴 아메리카와 남아프리카에서도 피해자들을 적극적으로 대상으로 삼고 있다는 사실을 발견했다."고 설명했다.

최근 몇 달 동안 정보 탈취 악성코드는 생성AI 도구를 가장하여 사용되기 시작했다. 2024년 상반기에는 리라이드 스틸러(Rilide Stealer)가 오픈AI의 소라와 구글의 제미나이와 같은 생성AI 어시스턴트의 이름을 악용하여 잠재적 피해자를 유인하는 모습이 목격되었다. 또 다른 악성 캠페인에서는 Vidar 정보 탈취 악성코드가 AI 이미지 생성기 미드저니(Midjourney)의 윈도우 데스크탑 앱으로 가장하고 있었는데, 미드저니의 AI 모델은 디스코드(Discord)를 통해서만 접근할 수 있다. 2023년 이후, ESET 연구는 사이버 범죄자들이 AI 테마를 악용하는 사례를 점점 더 많이 목격하고 있으며, 이러한 추세는 계속될 것으로 예상된다.

공식 게임 생태계를 벗어난 게임 애호가들은 정보 탈취 악성코드의 공격을 받았다. 최근에는 크랙된 비디오 게임과 온라인 멀티플레이어 게임에서 사용되는 치트 도구에도 루마 스틸러(Lumma Stealer) 및 레드라인 스틸러와 같은 정보 탈취 악성코드가 포함된 것으로 나타났다. 레드라인 스틸러는 2024년 상반기 ESET 텔레메트리에서 스페인, 일본, 독일에서의 캠페인으로 인해 여러 탐지 스파이크가 발생했으며, 2024년 상반기의 탐지량은 2023년 하반기보다 1/3 더 많았다.

워드프레스(WordPress) 플러그인 취약점을 악용하는 것으로 악명 높은 발라다 인젝터(Balada Injector)는 2024년 상반기 동안 2만 개 이상의 웹사이트를 손상시키며, ESET 텔레메트리에서 이 갱단의 최근 캠페인에서 사용된 변종에 대해 40만 회 이상의 히트를 기록하였다. 랜섬웨어는 2024년 2월 오퍼레이션 크로노스(Operation Chronos)에 의해 ‘록빗LockBit)’이 선두에서 밀려났다. ESET 텔레메트리는 2024년 상반기 동안 두 차례의 주요 록빗 캠페인을 기록했지만, 이는 유출된 록빗 빌더를 사용한 비록빗 갱단의 결과로 밝혀졌다.

ESET 위협 보고서에는 여전히 성장하고 있는 가장 진보된 서버 측 악성코드 캠페인 중 하나인 이버리(Ebury) 그룹과 그들의 악성코드 및 봇넷에 대한 최근 심층 조사에 대한 뉴스가 포함되어 있다. 수년에 걸쳐 이버리는 40만 대의 리눅스, FreeBSD 및 OpenBSD 서버를 백도어로 손상시켰으며, 2023년 말 기준으로 여전히 10만 대 이상의 서버가 손상된 상태로 남아있다.