ASEC 주간 악성코드 통계 ( 20211129 ~ 20211205 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 11월 29일 월요일부터 2021년 12월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 31.4%로 1위를 차지하였으며, 그 다음으로는 코인마이너가 25.6%, 인포스틸러가 22.3%, RAT (Remote Administration Tool) 악성코드가 20.1%, 랜섬웨어가 0.4%, 뱅킹 악성코드가 0.1%로 집계되었다. Top 1 –  BeamWinHTTP 30.9%로 지난주에 이어 1위를 기록한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인…

디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다. 해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다. 이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다. temp.doc 에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다. 워드 파일을 통해…

국세청 사칭 메일을 통해 Lokibot 악성코드 유포 중

ASEC 분석팀은 최근 홈택스를 사칭한 악성 메일이 꾸준히 유포되고 있음을 확인하였다. 메일 발신인의 주소는 지난해와 마찬가지로 홈택스를 위장한 hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr 이며 본문 내용 역시 전자 세금 계산서 관련 내용이 포함되어 있다. 해당 유형의 메일은 과거부터 꾸준히 유포되고 있으며, 지난해 ‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’ 글에 공유된 사칭 메일의 경우 악성 매크로가 포함된 PPT 파일이 첨부되어 있었으나 최근에는 악성 실행 파일을 압축한 형태로 유포되고 있다. 메일에 첨부된 압축 파일 내부에는 아래와 같이 실행 파일이 존재한다. 파일명에 메일 본문에 작성된 발행일과 동일한…

더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중

ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다. PPT 파일 실행시, 아래와 같이 기존과 동일하게 매크로 포함 여부를 선택하는 알림창이 생성된다. 이때 매크로 포함 버튼을 선택하게 되면 악성 매크로가 자동으로 실행되게 된다. 악성 매크로가 실행되면 파워 포인트 에러를 위장한 오류창을 생성하여 사용자가 악성…

ASEC 주간 악성코드 통계 ( 20211122 ~ 20211128 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 11월 22일 월요일부터 2021년 11월 28일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 31.7%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 23.7%, 코인마이너가 22.0, RAT (Remote Administration Tool) 악성코드가 21.5%, 랜섬웨어가 0.8%, 뱅킹 악성코드가 0.2%로 집계되었다. Top 1 –  BeamWinHTTP 30.9%로 지난주에 이어 1위를 기록한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인…