디스코드를 통해 유포되는 마이너 악성코드

ASEC 분석팀에서는 국내에서 유포 중인 악성코드들을 모니터링하던 중 디스코드 메신저를 통해 마이너 악성코드가 유포 중인 것을 확인하였다. 공격자는 아래와 같은 “무료 로벅스생성기” 디스코드 채팅방에서 로블록스라는 게임의 화폐인 로벅스를 무료로 생성해주는 프로그램이라고 소개하며 다운로드를 유도한다. 만약 위 그림의 아래에 존재하는 “로벅스생성기-다운로드” 링크를 클릭하면 아래와 같이 압축 파일을 다운로드 받을 수 있다. 압축을 해제하면 “robux free tool.exe” 라는 이름을 가진 실행 파일을 확인할 수 있는데, 만약 이 파일을 실행할 경우 다양한 악성코드들이 단계별로 설치된다. 먼저 robux free tool.exe 파일을 실행하면 아래와 같은…

특정 항공사 자소서로 위장한 RTF 악성코드

ASEC 분석팀은 이번달(10월) 초에 특정 항공사 자소서로 위장한 RTF 문서형 악성코드를 확인하였다. 다른 문서형 악성코드(워드, 엑셀 등)에 비해 자주 등장하는 류의 문서형태는 아닌 형태로 특정 문서를 위장한 RTF 악성코드는 오랜만에 발견된 케이스이다. 유포 파일명 : ****항공사 자소서_.rtf 해당 RTF 문서는 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)이 사용 되었으며 본문에는 자소서의 내용이 작성되다만 듯 마지막 문장이 마무리되지 못하고 끝나있다. 이 문서는 10월 1일에 최초 제작되어 10월 4일에 최종 수정된 것으로 확인되며 아래와 같이 취약점이 발생할 경우 특정 네트워크에 접속하여…

웹하드를 통해 유포 중인 악성코드 (10/8일자)

ASEC 분석팀에서는 국내 악성코드들의 유포지를 모니터링하고 있으며, 최근에는 UDP Rat 악성코드와 이를 유포하는데 사용되는 웹하드 게시글을 소개한 바 있다. 공격자로 추정되는 업로더는 아래의 블로그가 공개된 이후에도 또 다른 웹하드를 이용해 유사한 악성코드들을 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다. – 웹하드를 통해 유포 중인 UDP Rat 악성코드 위의 게시글을 보면 zip 압축 파일을 이용한 이전 블로그 사례와 달리 egg 압축 파일을 업로드한 것으로 보이지만 실제 압축 파일은 zip 파일 포맷이다. 그리고 게시글의 아래를 보면 압축을 풀고 Game.exe를 실행시키라는…

ASEC 주간 악성코드 통계 ( 20210927 ~ 20211003 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 9월 27일 월요일부터 2021년 10월 03일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.2%로 1위를 차지하였으며, 그 다음으로는 다운로더가 19.2%, RAT (Remote Administration Tool) 악성코드가 10.7%, 백도어 악성코드가 3.7%, 랜섬웨어가 1.9%, CoinMiner가 1.1%, 뱅킹 악성코드가 0.2% 로 집계되었다. Top 1 –  AgentTesla AgentTesla는 18.4%로 BeamWinHTTP와 공동 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근…

Outlook.exe 를 이용한 악성 PPT 매크로 유포 중

최근 ASEC 분석팀은 꾸준하게 유포되고 있는 악성 PPT 파일의 변형을 확인하였다. 기존과 동일하게 mshta.exe 를 이용하여 악성 스크립트를 실행하는 동작 방식으로, 중간 과정에서 outlook.exe 프로세스를 이용하는 방식이 추가되었다. 악성 PPT 파일은 아래와 같이 피싱 메일의 첨부 파일을 통해 유포되고 있으며, 구매 문의와 관련된 내용을 포함하고 있다. 또한 이전 유형과 동일하게 악성 PPT 파일은 PDF 확장자로 위장한 것을 확인할 수 있다. 유포 파일명 Purchase Inquiry_pdf.ppt 악성 PPT 파일을 실행시, 매크로 포함 여부를 선택하는 알림이 생성되며 매크로 포함 버튼을 선택하게 되면 악성…