악성코드 정보

기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다. 피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수 있도록 해라”라는 문구가 적혀있다. “KEEP YOUR PASSWORD” 문구를 클릭하면 아래 그림과 같이 Microsoft 로그인 화면과 동일한 화면이 뜨며, 실제 Microsoft 로그인 하는 과정과 비슷하게 메일 주소는 이미 입력된 상태로 되어있어…

ASEC 주간 악성코드 통계 ( 20211018 ~ 20211024 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 10월 18일 월요일부터 2021년 10월 24일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 62.0%로 1위를 차지하였으며, 그 다음으로는 다운로더가 20.2%, RAT (Remote Administration Tool) 악성코드가 6.7%, 백도어 악성코드가 5.3%, 랜섬웨어가 4.2%, 뱅킹 악성코드가 0.9%, 코인마이너 악성코드가 0.7%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 22.9%로 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는…

기업 타겟 Invoice 위장 엑셀 문서 유포

ASEC 분석팀은 최근 Invoice로 위장한 악성 엑셀 문서를 확인하였다. 해당 엑셀 파일은 Invoice-[숫자]_날짜.xlsb 파일명으로 메일에 첨부되어 유포되고 있다. 아래는 국내에 유포중인 악성 메일이다. 메일에 첨부된 엑셀 파일 실행 시 편집 사용이 제한되어 있으며, 아래와 같이 특정 이미지가 포함되어 있어 사용자의 클릭을 유도한다. 또한, 해당 이미지에는 매크로가 지정되어 있어 사용자가 이미지를 클릭해야만 매크로가 실행되어 악성 행위를 수행한다. Macro1 시트는 숨겨진 시트로 존재하며, 해당 시트는 아래 그림4와 같이 다수의 수식이 여러 셀에 나누져 있다. 사용자가 이미지 클릭 시 다음과 같은 경고창이 생성된다….

ASEC 주간 악성코드 통계 ( 20211011 ~ 20211017 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 10월 11일 월요일부터 2021년 10월 17일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 58.2%로 1위를 차지하였으며, 그 다음으로는 다운로더가 24.6%, RAT (Remote Administration Tool) 악성코드가 7.4%, 백도어 악성코드가 4.7%, 랜섬웨어가 4.1%, 뱅킹 악성코드가 0.9% 로 집계되었다. Top 1 –  BeamWinHTTP 이번주 23.7%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage…

코로나19 지원금 관련 ‘개인정보 수집 동의서’ 본문 내용의 악성 한글(HWP) 파일

ASEC 분석팀에서는 한동안 유포가 뜸했던 악성 한글(HWP) 파일을 확인하였다. 올 해 4월을 마지막으로 게시된 HWP 파일의 경우에도 내부에 악성 링크 개체를 삽입한 것으로 이번에 확인된 악성 EPS가 삽입된 것은 올해들어 처음 확인된 케이스이다. VirusTotal에도 업로드 되어있는 파일로 누군가 업로드시 ‘test.hwp’, ‘123.hwp’명으로 업로드 한 것으로 보아 테스트 단계로 제작했을 가능성도 배제할 수 없다. 다만 최근 게시한 ‘특정 항공사 자소서 위장‘의 악성 RTF와 내부 쉘코드가 동일하게 사용되었다는 점이 주목할만 하다. 이 쉘코드를 통해 연결 시도했던 악성 URL은 이전 게시글에서 언급했던 것과 같이…