채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다….

ASEC 주간 악성코드 통계 ( 20210405 ~ 20210411 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 5일 월요일부터 2021년 4월 11일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 76.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 13.9%, Coin Miner가 5.6%, 다운로더가 3.5%, 랜섬웨어가 0.4%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 35.5%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보…

피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!

ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다. 이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성…

스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)

최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다. 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다. 악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러 및 RAT 악성코드들이 있다. 다음은 유포에 사용된 스팸 메일 사례이며,…

대북관련 질의서 제목의 한글문서(HWP) 유포

ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다. 문서 제목 : 질의서-12월15일.hwp  문서 내용 위…