악성코드 정보

윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다. 악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자의 주의가 필요하다. 피싱 메일에 첨부된 압축 파일을 압축 해제하면 악성 CHM 파일이 존재하며, 해당…

메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나,…

PDF 내 첨부된 파일을 안전한 파일로 속이기 위한 수법

ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다. Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다. 이메일에 첨부된…

ASEC 주간 악성코드 통계 ( 20220509 ~ 20220515 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 9일 월요일부터 5월15일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 79.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.7%, 뱅킹 1.6%, 랜섬웨어 1.6%, 다운로더 0.8% 로 집계되었다. Top 1 –  AgentTesla 인포스틸러 악성코드인 AgentTesla 가 46.8%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출…

다양한 주제의 보도자료를 사칭한 Kimsuky 공격시도

ASEC 분석팀은 보도자료로 위장한 악성코드가 유포되고 있음을 확인하였다. 해당 악성코드는 실행 시 정상 문서 파일을 로드하고 악성 URL로 접속을 시도한다. 연결 성공 시 해당 페이지에 존재하는 스크립트가 실행되며 이는 <대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) > 에서 확인된 VBS 코드와 유사한 유형인 것으로 확인된다. 현재 확인된 파일은 다음과 같다. 북한의 코로나19 확진자 발생 인정과 향후 한반도 정세 전망 .docx.exe 1. 보도자료 (도내 청소년 대상, 찾아가는 드론 체험 교육 운영).hwp .exe 2. 보도자료 (제17회 입양의 날 기념식 3년만에 개최).hwp .exe 3.보도자료 (**디자인진흥원,…