미분류

‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일 마지막으로 수정한 날짜 – 2021년 8월 14일 해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다. 주목할 점은 해당 문서보호를…

ASEC 주간 악성코드 통계 ( 20210531 ~ 20210606 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 31일 월요일부터 2021년 6월 6일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 82.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, 다운로더가 1.5%로 집계되었다. 뱅킹 악성코드와 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 29.4%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출…

미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)

ASEC 분석팀에서는 대북관련, 공공기관 등으로 위장하여 유포되는 악성 문서를 지속적으로 보고하고 있다. 이번 소개할 내용은 미국 투자은행을 사칭하여 유포되는 악성 DOC(워드) 문서로 사칭 내용은 [그림 1]과 같다. 해당 악성 DOC(워드) 문서는 MAC OS 환경에서 동작하며 감염시 사용자 PC에 백도어를 설치한다. 해당 악성 DOC(워드) 문서는 [그림 2] 와 같이 External 로 다운로드를 위한 악성 URL이 명시되어 있다. 따라서 문서 실행시 [그림 3] 과 같이 External 연결을 통해 악성 URL로 부터 추가 악성 문서를 다운로드 받아 실행되고, 추가 악성 문서에 포함된 공격자의…

계정 이용 제한 안내 메일로 위장한 피싱 메일 유포 중

ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다. 최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을 알 수 있다. 또한, 정상적인 Daum 고객센터의 Email 주소는 notice-master@daum.net으로 해당 메일에서는 blogdaum.net 로 도메인 주소만 교묘하게 변경하여 수신자가 쉽게 착각할 수 있다. 사용자가 메일에 존재하는 악성 URL을 클릭할 경우…

V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지

V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다. Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal – User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation)– PowerShell (scripts, interactive use,…