악성코드 정보

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

ASEC 주간 악성코드 통계 ( 20200928 ~ 20201004 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 9월 28일 월요일부터 2020년 10월 4일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 33.5%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 22.4%, 뱅킹 악성코드가 18.0%를 차지하였다. 다운로더 악성코드는 13.0%를 차지하였으며, RAT (Remote Administration Tool)가 8.1%, 랜섬웨어는 5.0%로 그 뒤를 따랐다. Top 1 –  Glupteba 22.4%를 차지하는 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를 설치하는 코인 마이너 악성코드이다. …

ASEC 주간 악성코드 통계 ( 20200921 ~ 20200927 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 9월 21일 월요일부터 2020년 9월 27일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 32.4%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 27.5%, 뱅킹 악성코드가 25.3%를 차지하였다. 다운로더 악성코드는 8.2%를 차지하였으며, RAT (Remote Administration Tool)가 6.0%, 랜섬웨어는 0.5%로 그 뒤를 따랐다. Top 1 –  Glupteba 27.5%를 차지하는 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를 설치하는 코인…

ASEC 주간 악성코드 통계 ( 20200914 ~ 20200920 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 9월14일 월요일부터 2020년 9월 20일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 41.3%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 25.0%, 뱅킹 악성코드가 21.9%를 차지하였다. RAT (Remote Administration Tool)는 8.8%를 차지하였으며, 다운로더 악성코드가 1.9%, 랜섬웨어는 1.3%로 그 뒤를 따랐다. Top 1 –  Glupteba 25.0%를 차지하는 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를 설치하는 코인 마이너…

워드양식 입사지원서로 위장한 Zegost 악성코드

ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…