인포스틸러(Infostealer) 악성코드 감염은 사용자 인지 없이 민감 정보를 수집·탈취하며, 그 결과 데이터 프라이버시 침해, 금전적 기업 손실, 기업 평한 훼손과 같은 직간접적 피해로 이어질 수 있습니다.
Lumma는 윈도우 운영체제를 타겟으로 하는 대표적인 인포스틸러로, 서비스형 악성코드(MaaS)로 운영되어 구독·결제만으로 누구나 이용할 수 있습니다. 이로 인해 전문 지식이나 개발 역량이 부족한 공격자들도 공격을 수행할 수 있어, Lumma Infostealer를 사용한 공격 사례가 지속적으로 발견되고 있습니다.
Lumma Infostealer는 주로 불법 복제 및 크랙 프로그램으로 위장하고 있으며, 피싱 사이트를 통해 유포되고 있습니다.
파일 내부에는 분할된 AutoIt 모듈과 악성 AutoIt 스크립트가 포함되어 있습니다. 실행시 난독화된 셸코드(Shellcode)를 메모리에 로드하고 프로세스 할로잉 기법을 사용하여 AutoIt 프로세스를 Lumma Infostealer로 대체해 실행한 뒤 C2와 통신하며 정보 탈취를 수행합니다.
이러한 AutoIt 크립트, 셸코드 인젝션 및 프로세스 할로잉 기법 등은 시그니처 기반 탐지와 분석을 더욱 어렵게 만듭니다.
또한 공격자들은 유포 사이트의 URL 및 배포 파일 변경을 통해 유포·감염 방식을 개선하고 있어, 단일 지표에 의존한 방어만으로는 효과적인 대응이 어렵습니다.
따라서 EDR을 통한 행위 기반 탐지와 대응이 필수적입니다.