악성코드 정보

특정 게임 플랫폼을 악용한 Vidar 인포스틸러

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을 전달받고, 추가적으로 여러 DLL들을 다운로드 받아 사용자의 정보들을 수집한다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를 구하기…

ASEC 주간 악성코드 통계 ( 20210426 ~ 20210502 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 26일 월요일부터 2021년 5월 2일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 75.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.3%, 다운로더가 1.3%, Coin Miner 가 2.6%, 랜섬웨어와 뱅킹 악성코드는 0.4%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 32.9%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보…

기업 AD 환경에서 CobaltStrike 해킹툴 설치하는 Hancitor 워드문서

Hancitor 악성코드는 스팸 메일을 통해 유포되는 다운로더 악성코드로서, 2016년 경부터 꾸준히 유포되고 있다. 최근에는 추가 페이로드로 코발트 스트라이크를 설치하는 형태가 유포되고 있어 사용자의 주의가 필요하다. Hancitor는 스팸 메일의 첨부 파일이나 다운로드 링크를 이용해 유포되며 보통 MS 오피스 문서 파일을 그 대상으로 한다. 최근 확인되는 유형은 악성 VBA 매크로가 포함된 워드 문서 파일이다. 워드 문서를 실행하면 다음과 같은 이미지를 보여주면서 사회공학 기법을 이용해 사용자가 매크로 활성화 즉 상단의 “콘텐츠 사용” 버튼을 클릭하도록 유도한다. 다음은 2016년과 2018년에 공개된 ASEC 블로그이며, 동일하게 스팸…

ASEC 주간 악성코드 통계 ( 20210419 ~ 20210425 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 19일 월요일부터 2021년 4월 25일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 72.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, 다운로더가 5.0%, Coin Miner 가 4.6%, 랜섬웨어가 1.2%, 뱅킹 악성코드는 0.8%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 25.6%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한…

구글 키워드 검색으로 유포되는 정보 유출 악성코드들

ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다. 구글 같은 검색 엔진에서 프로그램의 이름 및 크랙이나 키젠과 같은 키워드를 검색할 경우 다음과 같이 가짜 단축 url 링크가 걸려있는 웹 페이지들이 확인될 때가 있다. 단축 url은 아래의 예시에서는 “hxxps://imgfil[.]com”이며, 이외에도 “hxxps://blltly[.]com”도 확인된다. “imgfil[.]com”은 “https://imgflip.com”을 사칭하는 것으로 추정되며,…