웹하드와 토렌트를 통해 유포 중인 njRAT

njRAT 악성코드는 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 RAT 악성코드이다. 대표적으로 파일 다운로드 및 명령 실행, 키로깅 그리고 사용자 계정 정보 탈취와 같은 다양한 기능들을 제공하기 때문에 과거부터 꾸준히 공격자들에 의해 사용되고 있다. 또한 인터넷에서 쉽게 빌더를 구할 수 있기 때문에 국내 사용자들을 대상으로도 다양한 형태로 유포 중이며, 대표적으로는 토렌트와 웹하드를 이용해 정상 프로그램으로 위장하여 유포하는 방식이 있다. 참고로 njRAT 악성코드에 대해서는 과거 ASEC 블로그에서도 다수 소개된 바 있으며 하단의 블로그 링크를 참고하자. njRAT 같은 이미 알려진…

국내 메일 서비스 사용자 타겟 피싱 사이트(2)

그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다. 최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다. 또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다. 스크립트…

ASEC 주간 악성코드 통계 ( 20210524 ~ 20210530 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 24일 월요일부터 2021년 5월 30일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 79.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.0%, 다운로더가 1.1%, 랜섬웨어가 0.4%, CoinMiner가 0.2%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 30.0%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은…

ASEC 주간 악성코드 통계 ( 20210517 ~ 20210523 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 5월 17일 월요일부터 2021년 5월 23일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 75%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.3%, 다운로더가 3.6%, 랜섬웨어가 2.1%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 27.9%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시 아래와 같은 메일 서버…

불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. 확보한 EML 3개의 공통점으로는 사용자 메일에 대한 회신인 것처럼 속여 악성 매크로 엑셀파일을 유포하고 있다. 세 번째 이미지에서 알 수 있듯이 ‘위암 국제 학술대회(KINGCA week 2021)’ 초대메일에 대한 회신으로 위장하여 수신자로 하여금 메일을…