악성코드 정보

매크로 시트를 이용한 악성 엑셀 국내 유포 중 (2)

ASEC 분석팀은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle / Qakbot 을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다. 매크로 시트를 활용한 악성코드에 대해서는 위와 같이 본 블로그에 여러 차례에 걸쳐 소개한 바 있다. 이번에 소개하려는 형태도 유포 방식이 크게 다르지 않으나 유사한 형식의 파일명으로 다량 유포하는 정확이 확인되어 사용자들의 주의가 요구된다. 대부분의 파일명은 biz-106093825.xls / recital-1105217019.xls / miss-1360738092.xls 와…

ASEC 주간 악성코드 통계 ( 20211025 ~ 20211031 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 10월 25일 월요일부터 2021년 10월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 48.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 24.5%, 다운로더가 18.3%, 백도어 악성코드가 4.6%, 랜섬웨어가 4.1%, 뱅킹 악성코드가 0.2% 로 집계되었다. Top 1 –  BeamWinHTTP 17.5%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를…

유사한 도메인 형태의 External 링크를 사용하는 악성 워드 문서

최근 공격 정황들이 확인되고 있는 악성 워드(WORD)문서들은 대부분 매크로 형태이나 이번에 ASEC분석팀은 이 매크로 악성 워드를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 External 링크 워드를 이용한 케이스를 확인하였다. 이 방식은 과거 게시글에서도 설명한 바있으며 주로 대북관련 본문 내용의 악성 워드에서 사용했었다. 이전 블로그 : 대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 이전 케이스와 같이 동일한 과정을 통해 동작하는 해당 악성 워드의 실행 흐름은 아래와 같다. 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성…

CAPTCHA 화면이 있는 피싱 PDF 파일 대량 유포 중

올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분 국외 유포 위주로 보이고 이로 인한 국내 피해 건수는 높지 않은 것으로 보인다. 그동안 확인된 피싱 PDF 파일 유형은 화면 구성이나 동작 방식 등이 다양하였지만, 특정한 한 유형이 이렇게 대량으로…

대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인

ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다. 최근 확인된 파일명은 아래와 같다. 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인) 질의서-12월 방송.doc (10/28 확인) 질의서-7월 방송.docm (10/1 확인) KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인) 210813_업무연락(사이버안전).doc (8월 확인) 확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이…