‘이력서.xll’ 파일 국내 유포 중 (LockBit 2.0)

올해 중순에 ASEC 분석팀에서는 이메일을 통해 XLL 파일(확장자: .xll) 형식의 악성코드가 유포됨을 공유한 바 있다. XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가졌으나, Microsoft Excel(엑셀)을 통해 실행된다. 그동안 이 유형의 악성코드 유포가 활발하지 않았으나, 오랜만에 ‘이력서.xll‘의 파일명으로 유포된 정황을 확인하였다. 2022년 5월 20일 게시글 : 메일을 통해 유포되는 XLL 악성코드 2022년 11월 21일 게시글 : LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중 이전 블로그에서도 언급한 바와 같이, XLL 파일은 엑셀의 Add-in(추가 기능) 파일로 MS Excel을 통해 파일을 실행 할…

ASEC 주간 피싱 이메일 위협 트렌드 (20221113 ~ 20221119)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT와 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 11월 13일부터 11월 19일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 또한 기존에 발견되지 않은 새로운 유형이나 주의해야 할 이메일을 키워드와 함께 소개하여 사용자 피해를 최소화하려고 한다. 본 포스팅에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 첨부파일 없이 악성 링크만 본문에 포함된 이메일은 대상에서 제외한다. 피싱 이메일 위협 유형 한 주간 피싱 이메일 첨부파일 중…

국내 매그니베르 유포에 활용되는 도메인

ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다. [그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier 이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월…

ASEC 주간 악성코드 통계 (20221114 ~ 20221120)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 14일 월요일부터 11월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 53.2%로 1위를 차지하였으며, 그 다음으로는 백도어가 24.1%, 인포스틸러 21.1%, 랜섬웨어 1.0%, 코인마이너가 0.4%, 뱅킹 0.2%로 집계되었다. Top 1 – BeamWinHTTP 30.5%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고, 동시에 추가 악성코드를 다운로드하여 설치할…

국내 유명 웹메일 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다. 해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다. 피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다….