비트코인 입금을 유도하는 스캠 메일 유포

ASEC 분석팀은 비트코인 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 비트코인 입금과 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 스캠 사이트로 연결되는 것이 특징이다.  스캠 메일은 아래와 같이 Admin 관리자로 위장하여 Bitcoin Payment이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “고객이 요청하신 대로 비트코인 ​​포트폴리오 관리 사이트(www.fortcoin[.]net/signin)에 25 BTC($1,184,081.00 USD)를 입금했다는 내용과 함께 가입된 고객 ID와 비밀번호를 안내해주고 있다. 해당 스캠 사이트(www.fortcoin[.]net)는 비트코인 포트폴리오 관리 사이트로 위장하고 있으며 포트폴리오 별로 지갑 관리, 입/출금, 이자 지급…

메타스플로잇 미터프리터를 이용한 공격 사례

메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다. 코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다. 메타스플로잇 미터프리터 코발트 스트라이크는…

Excel 4.0 매크로를 통해 유포되는 Dridex

최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다. 최근 유포되고 있는 엑셀 문서의 실행 화면은 아래와 같다. 다양한 이미지를 이용하여 사용자가 매크로 사용…

‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서

ASEC 분석팀에서 ‘수출용 골드바 매매 계약서’로 위장한 악성 워드 문서를 확인하여 이에 대해 알리고자한다. 이 유포된 문서의 원본은 문서 제목 및 본문 내용으로 보아 과거에 작성되었을 것으로 보이며 이를 수정하여 최근 유포한 것으로 보여진다. 문서 제목 : 1MT 거래조건-20140428 .doc 문서 정보 : 마지막으로 인쇄한 날짜 – 2014년 4월 20일 마지막으로 수정한 날짜 – 2021년 8월 14일 해당 문서는 문서보호가 설정된 형태로 존재하며 내부의 악성 매크로가 실행되면 보호해제 후 공격자가 삽입해둔 그림을 제거하여 본문내용이 보여지도록 한다. 주목할 점은 해당 문서보호를…

ASEC 주간 악성코드 통계 ( 20210809 ~ 20210815 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 8월 9일 월요일부터 2021년 8월 15일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 66.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 21.3%, 다운로더와 Coin Mine가 5.3%, 랜섬웨어가 1.4%, 뱅킹 악성코드가 0.2% 로 집계되었다. Top 1 –  Vidar 이번주는 Vidar가 13.6%를 차지하며 1위를 차지하였다. Vidar는 대표적인 인포스틸러 / 다운로더 악성코드이다. Vidar는 웹 브라우저, FTP, 코인 지갑 주소, 스크린샷 등의 인포스틸러…