국내 인터넷 뉴스 사이트 통한 랜섬웨어 유포 (Greenflash Sundown EK)
최근 국내 인터넷 뉴스 사이트를 통해 선(SEON) 랜섬웨어 및 사용자 정보유출 악성코드에 감염될 수 있어 사용자의 주의가 필요하다. 인터넷 뉴스를 보는 가장 쉽고 편리한 방법은 포털 사이트(Portal Site)의 뉴스 서비스를 이용하는 것이다. [포털 사이트(Portal Site)] 사용자가 인터넷상에서 다른 서비스를 이용하기 위해 사용하는 사이트를 의미하며 검색, 이메일, 뉴스 등의 다양한 서비스를 제공 인터넷
국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포
안랩 ASEC은 지난 2019년 2월 15일 국내 사용자를 대상으로 한 CLOP 랜섬웨어를 발견하였다. 국내 사용자에 피해가 증가하고 있어 주의가 요구된다. CLOP랜섬웨어는 파일 암호화전에 일부 프로세스를 찾고 강제로 종료시킨다. 이는 랜섬웨어의 파일 암호화때 보다 많은 대상을 암호화 시키기 위해서 인 것으로 추정된다. 프로세스 종료대상은 아래 그림과 같다. [그림 1] 강제종료 프로세스
Microsoft Office Excel – DDE 이용 악성 기능 실행 (2)
지난 12월 안랩 ASEC은 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 악성 엑셀 문서 파일에 대해 정보를 공개하였다. 당시 접수된 유형은 CSV 형식 엑셀 파일에 cmd 커맨드를 포함한 수식 표현을 통해 악성 기능을 실행하였다. 또한 백신 제품의 진단을 우회하기 위해 반복된 개행이나 무의미한 랜덤 문자 등을 다수 삽입하였다. (관련 글: 'Microsoft Office
PDF 형태로 유포되는 Phishing 악성코드 (URL 탐지 우회)
안랩 ASEC은 최근 피싱 공격에 사용되는 PDF 악성코드가 URL 탐지를 우회하는 방식으로 제작되어 유포 중인 것을 확인하였다. 피싱(Phishing)이란, ‘private data’와 ‘fishing’의 합성어로서 사용자 스스로 개인 정보를 입력하도록 유도하여 갈취하는 공격이다. 이러한 피싱 공격에 사용되는 PDF 악성코드는 주로 자극적인 내용을 통해 사용자의 호기심을 유발하여 피싱 사이트로의 링크 클릭을 유도한다. 일반적인 PDF 뷰어
암호화폐 가치에 따른 마이너 악성코드 동향 (2018)
2018년 마이너(Miner) 악성코드 샘플과 감염 리포트 수량이 크게 증가했다. 해당 악성코드의 샘플 수량은 2017년의 12만7천건에서 2018년도는 299만건으로 무려 2,254% 증가율을 보였다. [그림 1] Miner 악성코드 샘플 수량 및 감염 리포트 수량 vs 비트코인 가격 (※ 비트코인 시세: 코인마켓캡(https://coinmarketcap.com) 자료 기준) 마이너 악성코드의 폭발적인 증가는 암호화폐(Cryptocurrency, 일명 가상화폐)의 급격한 가치 상승에
국내 유포 중인 Gandcrab v5.1
안랩 ASEC은 2019년 1월 17일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.1을 발견하였다. 1월 16일까지는 이력서로 가장한 Gandcrab과 JS 스크립트를 통해 유포되는 Gandcrab은 모두 v5.0.4로 같았다. 그러나 1월 17일부터 이력서를 통해 유포되는 Gandcrab 버전이 5.1로 변경되었다. (JS 스크립트를 통해 유포되는 GandCrab은 v5.0.4) 2018년 11월 15일 발견 된 이력서를 가장하여 유포중인 Gandcrab(http://asec.ahnlab.com/1178)과
2018년 랜섬웨어 동향
최근 몇 년 동안 기승을 부리던 랜섬웨어의 전체적인 세력은 2018년에는 다소 약화되었다. 2018년 한해 동안 안랩에 접수된 샘플 수는 120만건으로, 이는 지난해 147만건에 비해 18.3% 감소한 수치다. 다만, 감염 리포트 건수는 84만5천건으로 전년의 83만2천건보다 1.5% 정도만 증가했다. 감염 리포트 소폭 증가 원인은 2018년 상반기에 케르베르(Cerber), 매그니베르(Magniber), 갠드크랩(GandCrab) 등의 랜섬웨어로 인한
국내 백신에 대한 새로운 무력화 시도 (GandCrab v5.0.4)
최근 ASEC은 GandCrab 유포 스크립트를 모니터링 중 국내 백신을 대상으로 하는 새로운 무력화 방식을 사용함을 포착하였다. 이전 버전에선 아래의 [그림 1]과 같이 “Uninst.exe”의 실행을 통해 제품 삭제를 시도했다면, 최근 발견된 유포 스크립트는 해당 방식을 제거하고 V3 서비스를 종료하려는 새로운 시도가 발견 되었다. (지난 글: http://asec.ahnlab.com/1171) [그림 1.] 기존 V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3) 동작방식에 있어서도 변화가
Microsoft Office Excel – DDE 이용 악성 기능 실행
마이크로소프트 오피스 제품에서 애플리케이션 사이에서 데이터 전달을 위해 제공하는 프로토콜인 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 문서 파일은 VBA 매크로 코드를 이용하지 않고도 악성 기능을 수행할 수 있는 방법이다. 2017년 하반기부터 본격적으로 이러한 DDE를 이용한 악성 워드, 엑셀 등의 문서 파일이 유포되었고, 그해 12월 마이크로소프트는 워드만 DDE 기능을 기본적으로 비활성 하였다. 반면 엑셀에 대해서는 DDE
GandCrab 5.0.9 등장
안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다. 현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다. [그림 1] 메시지 박스 해당 메시지 박스를 클릭하기
