‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일 마지막으로 수정한 날짜 – 2021년 8월 14일 해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다. 주목할 점은 해당 문서보호를…

ASEC 주간 악성코드 통계 ( 20210809 ~ 20210815 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 8월 9일 월요일부터 2021년 8월 15일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 66.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 21.3%, 다운로더와 Coin Mine가 5.3%, 랜섬웨어가 1.4%, 뱅킹 악성코드가 0.2% 로 집계되었다. Top 1 –  Vidar 이번주는 Vidar가 13.6%를 차지하며 1위를 차지하였다. Vidar는 대표적인 인포스틸러 / 다운로더 악성코드이다. Vidar는 웹 브라우저, FTP, 코인 지갑 주소, 스크린샷 등의 인포스틸러…

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다. VBA 코드를 포함하는 PPAM 파일의 매크로가 실행되면 mshta.exe를 통해 외부의 스크립트를 호출하며 해당 웹페이지는 악성 스크립트가 삽입되어있는 blogger 웹사이트(Final…

S/W 크랙 다운로드로 위장한 CryptBot 악성코드의 외형 변화

CryptBot 악성코드 등 상용 S/W 다운로드로 위장하여 유포되는 악성코드가 크고 작은 변형을 만들어 가며 활발히 유포 중이다. ASEC 분석팀에서는 지난 게시글에서 악성코드 내부 BAT 스크립트의 변형 과정에 대하여 언급한 바 있다. 본 글에서는 외형적인 변화에 대하여 공유하고자 한다. CryptBot 악성코드는 기존 7z SFX 외형에서 MS IExpress 외형으로 변경되었으며 일반적인 방법으로 압축 해제가 불가능하도록 트릭을 적용하였다. CryptBot 악성코드는 상용 소프트웨어의 크랙, 시리얼 다운로드 페이지로 위장한 악성 사이트에서 유포되며 자세한 내용은 아래 블로그를 참고하길 바란다. 기존 CryptBot 악성코드는 7z SFX 방식으로 유포되었다….

ASEC 주간 악성코드 통계 ( 20210802 ~ 20210808 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 주요 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 8월 2일 월요일부터 2021년 8월 8일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 22.4%, 다운로더 11.3%, 코인마이너 7.6%, 랜섬웨어 4.3%, Ddos 0.6% 로 집계되었다. Top 1 – RedLine RedLine 악성코드가 12.8%로 지난주에 이어 1위를 차지했다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C…