악성코드 정보

ASEC 주간 악성코드 통계 ( 20220110 ~ 20220116 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 10일 월요일부터 1월 16일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 55.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 38.2%, 다운로더가 3.9%, 랜섬웨어와 Backdoor가 각각 1.4% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 28.0%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며…

웹하드를 통해 유포 중인 DDoS IRC Bot 악성코드 (GoLang)

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Go 언어로 개발된 DDoS IRC 봇 악성코드들이 성인 게임을 위장하여 웹하드를 통해 설치되고 있는 사실을 확인하였다. 웹하드는 국내 환경에서 악성코드 유포에 활용되는 대표적인 플랫폼으로써 과거 njRAT이나 UDP Rat을 유포한 사례가 있다. 웹하드를 통해 유포 중인 UDP Rat 악성코드 최근 확인되고 있는 유포 사례는 기본적으로 위에서 다룬 사례와 유사하며 동일한 공격자가 아직까지 악성코드를 유포하고 있는 것으로 보인다. 성인 게임을 위장하여 악성코드를 유포하는 점 외에도 다운로더 악성코드를 거쳐 DDoS 악성코드를 설치하는 점 그리고…

ASEC 주간 악성코드 통계 ( 20220103 ~ 20220109 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 3일 월요일부터 2022년 01월 09일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 54.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 30.1%, 다운로더가 12.0%, 랜섬웨어가 2.4%, Backdoor가 1.2% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 28.9%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…

국내 유명 포털사이트 위장한 정보유출 악성코드

ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다. NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다. 해당 파일은 아래와 같이 파일명과 아이콘을 국내…

Edge, Chrome 웹 브라우저를 통해 유포되는 Magniber 랜섬웨어

ASEC 분석팀에서는 IE 취약점을 통해 유포되는 매그니베르 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되고 있고, 하기 블로그에서 언급한 것처럼 현재까지도 IE(Internet Explorer)를 통해 취약점을 활용한 형태로 유포되고 있다. 하지만 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서도 유포 중인 현황이 발견되었다. 이와 같은 방식은 기존 인터넷 익스플로러를 통한 매그니베르 감염과 같이 접속만으로도 감염되는 형태가 아닌, 랜섬웨어 감염까지 사용자의 액션(Action)이 요구되는 점에 있어서 기존과 감염 방식이 다르다. 본 블로그를 통해 Edge, Chrome 브라우저에서 유포되는 매그니베르 랜섬웨어의 유포과정을 설명한다….