악성코드 정보

국내 매그니베르 유포에 활용되는 도메인

ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다. [그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier 이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월…

국내 유명 웹메일 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다. 해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다. 피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다….

LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중

ASEC 분석팀은 지난 3차례에 걸쳐 LockBit 랜섬웨어가 메일을 통해 유포되고 있음을 ASEC 블로그에 게시한 바가 있는데, 꾸준한 모니터링을 통해 LockBit 2.0과 LockBit 3.0 랜섬웨어가 파일명만 변경하여 또 다시 유포 중임을 알리고자 한다. 이번 유포 방식은 이전에 소개하였던 워드 문서나 저작권 사칭 메일이 아닌 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 피싱 이메일에 첨부된 압축 파일은 [사람이름].zip 형태로 존재하고, 내부에는 추가적인 압축 파일이 존재한다. 추가 압축 파일 내부에는 사진 파일을 위장한 LockBit 2.0 랜섬웨어와 정상 엑셀 파일을 확인할 수 있다….

나의 전화번호는 어떻게 유출될까?

개인정보보호법은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다. 이 글에서는 개인정보인 전화번호를 수집하는 PUP 프로그램에 대해 소개한다. [그림 1]은 “OOO 중고나라 전화번호 추출 프로그램” 의 파일명을 갖는 PUP 프로그램이다. 중고나라는 OOO의 카페로 회원수 1900만명을 보유한 카페이다. 해당 카페의 회원들이 사용하지 않는 중고물품을 등록하여 판매하는 사이트이다….

블로그 자동 포스팅과 자동 신고 프로그램

스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다. 파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를 통해 작성했던 스팸 프로그램과 동일한 C# 언어로 개발 되었다. 주요 기능으로는 키워드를 이용하여 특정 블로그에 대한 글을 검색하여 블로그 내용에 특정 URL이 존재할 경우 리스트에 추가 하여 신고한다. 위 내용만 보면 해당 기능들은 정상 프로그램의 기능처럼…