악성코드 정보

엑셀 파일을 통해 유포 중인 Emotet 악성코드

ASEC 분석팀은 Emotet 악성코드를 다운로드하는 엑셀 문서가 지난달부터 꾸준히 유포되고 있음을 확인하였다. 엑셀 파일 내부에는 아래 그림과 같이 매크로 실행을 유도하는 내용이 포함되어 있다. 엑셀 파일에는 숨겨진 시트에 존재하는 특정 셀에 대해 매크로 이름 상자에 Auto_Open으로 지정되어있어 사용자가 콘텐츠 사용 버튼 클릭 시 해당 셀에 있는 수식이 자동으로 실행된다. Auto_Open으로 지정된 셀에는 다음과 같이 mshta를 실행하는 명령어가 포함되어있다. hxxp://92.255.57[.]195/ru/ru.html 에는 Powershell 명령어를 실행하는 스크립트가 포함되어 있어 mshta 에서 파워쉘을 실행하여 악성 행위를 수행한다. 위 스크립트를 통해 실행되는 파워쉘 명령어는 다음과…

ASEC 주간 악성코드 통계 ( 20220110 ~ 20220116 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 10일 월요일부터 1월 16일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 55.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 38.2%, 다운로더가 3.9%, 랜섬웨어와 Backdoor가 각각 1.4% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 28.0%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며…

웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고…

ASEC 주간 악성코드 통계 ( 20220103 ~ 20220109 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 3일 월요일부터 2022년 01월 09일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 54.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 30.1%, 다운로더가 12.0%, 랜섬웨어가 2.4%, Backdoor가 1.2% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 28.9%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…

국내 유명 포털사이트 위장한 정보유출 악성코드

ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다. NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다. 해당 파일은 아래와 같이 파일명과 아이콘을 국내…