악성코드 정보

ASEC 주간 악성코드 통계 ( 20200727 ~ 20200802 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 7월 27일 월요일부터 2020년 8월 2일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 45.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.1%, 뱅킹 악성코드가 18.6%, 차지하였다. Coin Miner 악성코드는 7.8%, 랜섬웨어는 4.9%를 차지하였으며 다운로더 악성코드가 2.9%로 그 뒤를 따랐다. Top 1 –Lokibot 지난 주에 이어 Lokibot이 17.2% 비율로 1위를 차지했다. Lokibot은 인포스틸러 악성코드로서 대부분의 웹 브라우저, 메일 클라이언트, FTP 클라이언트들 뿐만 아니라…

더욱 정교하게 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. https://asec.ahnlab.com/1348 다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면…

ASEC 주간 악성코드 통계 ( 20200720 ~ 20200726 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 7월 20일 월요일부터 2020년 7월 26일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 48.2%로 1위를 차지하였으며, 그 다음으로는 뱅킹 악성코드가 17.4%, RAT (Remote Administration Tool) 악성코드가 15.1%를 차지하였다. Coin Miner 악성코드는 9.6%, 다운로더 악성코드는 3.7%를 차지하였으며 랜섬웨어가 1.4%로 그 뒤를 따랐다. Top 1 –Lokibot 이번 주도 지난 주에 이어 Lokibot이 17.9% 비율로 1위를 차지했다. Lokibot은 인포스틸러 악성코드로서 대부분의 웹 브라우저, 메일 클라이언트, FTP 클라이언트들…

AgentTesla 악성코드 국내에 어떻게 유포되고 있나?

올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서 매주 업로드하고 있는 ‘주간 악성코드 통계’에서 확인 할 수 있듯 TOP 5안에 꾸준히 등장하는 국내에서 아주 활발히 유포 중인…

‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포

ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. https://asec.ahnlab.com/1355 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다. 해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는…