외화송금 통지를 가장한 NanoCore RAT 유포중!

ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은 특정 캐피탈 회사에서 실제 정상적으로 사용하는 그림을 그대로 가져온 것으로 추정된다. 첨부파일을 받아 확인해보면 R03 확장자를 가진 RAR 계열 파일로 확인이 되며, 압축 프로그램을 이용하여 압축을 풀면 아래 사진과 같이…

S/W 다운로드 위장, 다양한 종류의 악성코드 유포

ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 CryptBot 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 이러한 악성 사이트로부터 유포되는 악성코드는 CryptBot 악성코드가 대다수이지만, 간혹 타 악성코드가 유포되곤 한다. 본 블로그에서는 동일 유형의 악성코드 유포 중 CryptBot을 제외한 타 악성코드에 대하여 언급하고자 한다. 기존의 블로그에서도 언급했듯이 해당 악성코드는 검색엔진에 특정 상용 소프트웨어의 Crack, Serial, Keygen, License 등의 불법적인 키워드를 검색할 경우 상위에 노출되는 악성 페이지로부터 유포된다. 해당 악성 페이지는 대표적으로 다음과 같으며…

ASEC 주간 악성코드 통계 ( 20210726 ~ 20210801 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 26일 월요일부터 2021년 8월 1일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 48.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 25.8%, 다운로더 13.0%, 코인마이너 8.6%, 랜섬웨어 4.2%, Ddos 0.3%로 집계되었다. Top 1 – RedLine RedLine 악성코드가 18.0%로 지난주에 이어 1위를 차지했다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로…

‘BIO 양식’ 제목의 워드문서 유포 중

ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다. 최근 유포가 확인된 파일 역시 워드 파일 내부의 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 실행한다. 아래는 8월 2일에 유포가 확인된 ‘BIO 양식(XX 소장님).docx’ 파일에 포함된 External 링크이다. 다운로드 된 BIO.dotm 파일에는 악성 매크로가 포함되어 있다. 매크로 코드는…

Job Offer Letter로 위장한 악성코드

ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다. 스팸메일의 정확한 유입경로는 파악되지 않았으나, Job Offer Letter의 내용을 담은 것과 수신인을 구분하여 부여한 것처럼 보이는 비밀번호를 메일 본문에 기재한 것으로 보아 사용자를 속이기 위해 좀 더 교묘한 방법을 사용한 것으로 추정된다. 발신인 : Team Lead 메일 제목…