배달 앱을 위장한 악성코드 유포 주의

지난 5월 10일 ASEC 분석팀은 코로나-19(COVID-19)로 인하여 배달음식 소비가 급증하고 있는 가운데 공격자가 배달 어플리케이션을 미끼로 악성코드를 유포하고 있음을 확인하였다. 주문할게요 앱.zip (압축파일명) 주문할게요 앱\마케팅.docx (압축파일 내부 XML External 문서 악성코드) 주문할게요 앱\수정사항.docx (압축파일 내부 XML External 문서 악성코드) (이번에 발견된 악성 zip파일에 사용된 파일명은 정상 애플리케이션과 전혀 관련이 없으며 공격자가 해당 앱의 이름을 도용한 것으로 보인다.) 공격자가 사용한 XML External 기법은 과거 ASEC 블로그를 통해 소개한 바 있다. https://asec.ahnlab.com/ko/22610/ (미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)) 이러한…

ASEC 주간 악성코드 통계 ( 20210503 ~ 20210509 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 3일 월요일부터 2021년 5월 9일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 72.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, Coin Miner가 8.2%, 랜섬웨어가 1.7%, 다운로더가 1.3%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 25.1%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보…

스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거

HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한 유포 방식이 대부분인 것으로 추정된다. 다음은 2월과 3월경에 국내 사용자를 대상으로 유포된 스팸 메일들이다. 이렇게 직접적으로 EML 파일이 수집되지는 않더라도, 접수된 파일명으로 확인해 봤을 때도 대부분 스팸 메일의 첨부 파일명으로…

특정 게임 플랫폼을 악용한 Vidar 인포스틸러

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을 전달받고, 추가적으로 여러 DLL들을 다운로드 받아 사용자의 정보들을 수집한다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를 구하기…

ASEC 주간 악성코드 통계 ( 20210426 ~ 20210502 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 26일 월요일부터 2021년 5월 2일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 75.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.3%, 다운로더가 1.3%, Coin Miner 가 2.6%, 랜섬웨어와 뱅킹 악성코드는 0.4%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 32.9%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보…