기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다. 공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고 한다. 위의 그림과 같이 메일 내부에는 첨부 파일로 보이는 PDF 와 XLS 파일이 존재한다. 그림 영역을 선택한 점선 박스를 자세히 확인해보면 첨부 파일로 위장한 캡쳐 이미지 한 개에 하이퍼링크를 삽입한…

ASEC 주간 악성코드 통계 ( 20210510 ~ 20210516 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 10일 월요일부터 2021년 5월 16일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.9%, Coin Miner 가 3.7%, 랜섬웨어가 2.8%, 다운로더가 2.0%, 백도어와 뱅킹 악성코드는 0.2%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 33.1%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은…

국내 메일 서비스 사용자 타겟 피싱 사이트

최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며 하나의 도메인에서 해당 타겟에 대한 악성 피싱 스크립트들이 관리되고…

V3 메모리 진단에 의한 AMSI 우회시도 탐지(코인마이너)

ASEC 분석팀은 AMSI 탐지 기능을 무력화하는 코인 마이너가 유포됨을 확인하였다. AMSI 기능은 Windows 10에 추가된 기능으로써 악성코드 탐지를 위해 응용 프로그램과 서비스를 AV 제품과 연동할 수 있도록 MS에서 지원하는 기능이다. 현재 V3 Lite4.0/V3 365 Clinic 4.0 제품에서는 AMSI 기능을 활용하여 블루크랩 랜섬웨어 등 다양한 악성코드를 대응하는데 사용하고 있다. https://asec.ahnlab.com/ko/21256/ (V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지) 이번에 AMSI 무력화를 수행하는 코인 마이너는 파워쉘 스크립트 활용한 파일리스 형태로 유포되고 있으며 코인 마이너 동작을 수행하기 전에 amsi.dll의 AmsiScanBuffer…

피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드

ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다. [그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 외에도 한국어로 번역된 사이트도 존재한다. 악성코드는 zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가…