사용자 메일 주소에 따라 변경되는 피싱 페이지 (favicon 이용) Posted By choeyul , 2023년 1월 17일 ASEC 분석팀에서 지속적으로 피싱 메일에 대하여 모니터링을 수행하고 있다. 다수의 피싱 메일들이 확인되고 있는데, 사용자가 입력하는 본인 계정의 메일 서비스 종류에 따라 그에 해당하는 아이콘으로 변경되어 유포 중임을 확인하였다. 어제인 2023년 1월 16일 날짜로 유포된 메일로, 계정이 종료됨을 경고하며 다시 활성화가 필요할 시 ‘지금 재활성화하십시오‘ 링크를 클릭하도록 유도한다. 연결 된 피싱 페이지를 통해 사용자들의 이메일 계정 및 비밀번호가 유출된다. 이 때 연결된 페이지 상에서 기존과 다른 점이 확인된다. 기존에는 사용자의 메일 계정이 이미 자동 완성되어 있으며, 비밀번호만 입력하면 되는 형식이었다….
이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례 Posted By Sanseo , 2023년 1월 17일 ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다. 0. 개요 코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드로서 감염 시스템의 성능 저하를 유발한다. 코인 마이너를 유포하는 공격자들은 이러한 행위 자체가 불법이기 때문에 추적을 방해하기 위해 주로 모네로와 같이 익명성을 보장하는 코인을 마이닝하는 경향이 있다. 이에 따라…
Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서 Posted By suuzzane , 2023년 1월 16일 본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고,파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ 과 ‘2) 보다 더 정교하게 제작한 악성 OneNote 유형’ 으로 분류하였는데, 예시 샘플에 대한 이미지는 다음과 같다. 1) 간단한 블록 이미지로 악성 개체를 은닉한 유형 2) 보다 더 정교하게 제작한 악성 OneNote 유형 이어서, 실제 악성 행위를 수행하는…
원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상) Posted By ASEC , 2023년 1월 10일 ASEC 분석팀은 01월 08일 안보 분야 종사자를 대상으로 원고 청탁서로 위장한 문서형 악성코드 유포 정황을 확인하였다. 확보된 악성코드는 워드 문서 내 External 개체를 통해 추가 악성 매크로를 실행한다. 이러한 기법은 템플릿 인젝션(Template Injection) 기법으로 불리며 이전 블로그를 통해 유사한 공격 사례를 소개한 바 있다. 워드 문서를 실행하면 공격자 C&C 서버로부터 추가 악성 워드 매크로 문서를 다운로드 받아 실행한다. 추가로 실행되는 매크로는 사용자가 백그라운드에서 매크로 코드가 실행되는 것을 눈치채지 못하게 하기위해 정상 문서 파일도 함께 실행되도록 작성되어 있다. 공격자가 함께 유포한…
국세청 위장 메일을 통해 확인된 피싱 웹 서버 Posted By sm.Yi , 2023년 1월 10일 ASEC 분석팀에서는 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있었다. 그림 1) 원문 메일 그림 2) 계정 입력 피싱 사이트 그림 3) 로그인 페이지의 소스코드 ‘같은 비밀번호를 유지’라는 URL을 클릭하면 사내 메일 로그인 페이지가 확인되는데, 해당 로그인 페이지의 HTML 스크립트 코드는 위와 같다. 코드에서 확인할 수 있듯이, 사용자가 로그인을 하면 사용자의 계정정보가 공격자의 서버로 유출되는 형식을 띠고 있다. 그림 4) 공격자의 서버…