악성코드 정보

국내 유명 포털사이트 위장한 정보유출 악성코드

ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다. NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다. 해당 파일은 아래와 같이 파일명과 아이콘을 국내…

Edge, Chrome 웹 브라우저를 통해 유포되는 Magniber 랜섬웨어

ASEC 분석팀에서는 IE 취약점을 통해 유포되는 매그니베르 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되고 있고, 하기 블로그에서 언급한 것처럼 현재까지도 IE(Internet Explorer)를 통해 취약점을 활용한 형태로 유포되고 있다. 하지만 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서도 유포 중인 현황이 발견되었다. 이와 같은 방식은 기존 인터넷 익스플로러를 통한 매그니베르 감염과 같이 접속만으로도 감염되는 형태가 아닌, 랜섬웨어 감염까지 사용자의 액션(Action)이 요구되는 점에 있어서 기존과 감염 방식이 다르다. 본 블로그를 통해 Edge, Chrome 브라우저에서 유포되는 매그니베르 랜섬웨어의 유포과정을 설명한다….

ASEC 주간 악성코드 통계 ( 20211227 ~ 20220102 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 27일 월요일부터 2022년 01월 02일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 42.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 35.4%, 다운로더가 14.6%, 랜섬웨어가 4.9%, Ddos가 2.4% 로 집계되었다. Top 1 –  AgentTesla AgentTesla는 20.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며…

S/W 크랙으로 위장한채 유포되는 Redline Stealer

안랩 ASEC 분석팀은 기존의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 최근 한 기업의 내부 망 침해 사고 조사에서 상용 소프트웨어의 Crack으로 위장한 Redline Stealer 악성코드에 감염되어 기업의 VPN 사이트와 계정 정보가 유출된 사실을 확인했다. 피해 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호…

기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례

지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다.  Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월 16일에 최초 발견됐다. 안랩에서는 2018년 5월경부터 GlobImposter 류의 랜섬웨어를 진단명 Trojan/Win32.FileCoder로 진단하고 있었고, 9월 16일 등장한 Lockis 랜섬웨어도 진단이 가능한 상황이었다.  피해 시스템에서 확인된 공격자의 공격 순서는 다음과 같다.  1….