악성코드 정보

위장 파일명으로 유포되는 악성코드(RIGHT-TO-LEFT OVERRIDE)

ASEC 분석팀에서는 지난 8월 RIGHT-TO-LEFT OVERRIDE(이하 RTLO) 를 이용한 파일명을 사용하여 유포되고 있는 악성코드에 대한 블로그를 게시했다. RTLO는 설명된 내용처럼 오른쪽에서 왼쪽으로 오버라이드 하는 유니코드이다. 이를 이용하여 파일명과 확장자를 섞어 사용자의 실행을 유도하는 방식의 악성코드 유포는 현재도 계속되고 있다. GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴 이전 블로그 포스팅 내용을 토대로 GitHub에서 검색 시 Commits 된 게시글은 금일(2022.11.30)기준 304건이 조회된다. 몇 개의 계정으로 다수의 악성코드를 정상 코드처럼 등록했으며 기존 게시된 솔루션 위장 악성코드 파일만 새로운 악성코드로 업로드하여 유지된 게시글도 존재했다. RTLO…

국내 유명 항공사로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 항공사를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱 메일은 항공권 결제에 대한 내용을 공지하며 자세한 항공권 가격과 사전 정보를 파악한 것으로 추정되는 내용과 함께 위장한 피싱 사이트 접속을 유도한다. 메일 제목 및 본문은 아래와 같다. 본문에 첨부된 HTML파일을 확인하면, 아래와 같이 국내 유명 항공사로 위장한 피싱 사이트로 연결된다. 해당 사이트는 국내 유명 항공사 경영 지원 부서의 출처로 위장하였으며, 항공권 확인증 PDF 출력을 요구하는 내용과 함께 피해자의 계정 정보 입력을 요구한다. 이 과정에서 사용자가…

‘이력서.xll’ 파일 국내 유포 중 (LockBit 2.0)

올해 중순에 ASEC 분석팀에서는 이메일을 통해 XLL 파일(확장자: .xll) 형식의 악성코드가 유포됨을 공유한 바 있다. XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가졌으나, Microsoft Excel(엑셀)을 통해 실행된다. 그동안 이 유형의 악성코드 유포가 활발하지 않았으나, 오랜만에 ‘이력서.xll‘의 파일명으로 유포된 정황을 확인하였다. 2022년 5월 20일 게시글 : 메일을 통해 유포되는 XLL 악성코드 2022년 11월 21일 게시글 : LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중 이전 블로그에서도 언급한 바와 같이, XLL 파일은 엑셀의 Add-in(추가 기능) 파일로 MS Excel을 통해 파일을 실행 할…

국내 매그니베르 유포에 활용되는 도메인

ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다. [그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier 이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월…

국내 유명 웹메일 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다. 해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다. 피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다….