악성코드 정보

S/W 다운로드 위장, 다양한 종류의 악성코드 유포

ASEC 분석팀에서는 기존 다수의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 CryptBot 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 이러한 악성 사이트로부터 유포되는 악성코드는 CryptBot 악성코드가 대다수이지만, 간혹 타 악성코드가 유포되곤 한다. 본 블로그에서는 동일 유형의 악성코드 유포 중 CryptBot을 제외한 타 악성코드에 대하여 언급하고자 한다. 기존의 블로그에서도 언급했듯이 해당 악성코드는 검색엔진에 특정 상용 소프트웨어의 Crack, Serial, Keygen, License 등의 불법적인 키워드를 검색할 경우 상위에 노출되는 악성 페이지로부터 유포된다. 해당 악성 페이지는 대표적으로 다음과 같으며…

ASEC 주간 악성코드 통계 ( 20210726 ~ 20210801 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 26일 월요일부터 2021년 8월 1일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 48.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 25.8%, 다운로더 13.0%, 코인마이너 8.6%, 랜섬웨어 4.2%, Ddos 0.3%로 집계되었다. Top 1 – RedLine RedLine 악성코드가 18.0%로 지난주에 이어 1위를 차지했다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로…

‘BIO 양식’ 제목의 워드문서 유포 중

ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다. 최근 유포가 확인된 파일 역시 워드 파일 내부의 External 링크를 통해 악성 매크로가 포함된 dotm 파일을 실행한다. 아래는 8월 2일에 유포가 확인된 ‘BIO 양식(XX 소장님).docx’ 파일에 포함된 External 링크이다. 다운로드 된 BIO.dotm 파일에는 악성 매크로가 포함되어 있다. 매크로 코드는…

Job Offer Letter로 위장한 악성코드

ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다. 스팸메일의 정확한 유입경로는 파악되지 않았으나, Job Offer Letter의 내용을 담은 것과 수신인을 구분하여 부여한 것처럼 보이는 비밀번호를 메일 본문에 기재한 것으로 보아 사용자를 속이기 위해 좀 더 교묘한 방법을 사용한 것으로 추정된다. 발신인 : Team Lead 메일 제목…

지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드

CryptBot 악성코드는 S/W 다운로드 페이지를 위장한 악성 사이트에서 유포 중인 정보탈취 유형의 악성코드이다. 다수의 악성 사이트가 개설되어 있으며, 유명 상용 소프트웨어의 Crack, Serial 등의 키워드 검색 시 검색 결과 상위에 다수 노출되기 때문에 많은 사용자가 해당 악성코드를 다운로드하여 실행한다. 또한 해당 샘플은 SFX 방식의 패킹을 사용하기 때문에 정상과 악성의 구분이 쉽지 않은 편이며, 하루에도 몇 번씩 잦은 변형이 발생한다. 다운로드 페이지로 위장하였기 때문에 사용자는 정상 파일로 오인하여 V3 제품에서 차단이 발생하여도 지속적으로 여러 번 실행하는 패턴을 보이는데, 사용자의 주의가 필요하다….