[주의] KMSAuto 인증 툴을 위장하여 유포 중인 Vidar 인포스틸러

ASEC 분석팀은 최근 Vidar 인포스틸러 악성코드가 KMSAuto, KMSPico 인증 툴을 위장한 악성코드들을 통해 유포 중인 것을 확인하였다. 사용자들은 윈도우 정품 인증을 목적으로 인증 툴을 사용하지만 실제로는 인포스틸러 악성코드에 의해 웹 브라우저, FTP 클라이언트, 지갑 주소를 포함한 다수의 사용자 정보들이 공격자에 유출될 수 있으며, 다운로더 기능을 가진 Vidar의 특성 상 추가 악성코드가 다운로드되어 설치될 수 있다. KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드 및 사용되는 프로그램이다. 이렇게 사용자 수가 많은 만큼 악성코드들도 이를 악용하는데,…

국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중

ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다.  ‘부동산 관련’ 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 맞추어 논문, 학술관련 제목으로 악성코드가 제작되고 있음이 확인되었다. https://asec.ahnlab.com/1325 현재까지 확인된 악성 한글문서의 제목은 아래와 같이 2가지이며, 위 블로그 상에서 분류한 주제 중, ‘그 외’ 항목에 해당하는 기법으로 확인되었다. 해당 한글문서의 특징은 실행 시, 사용자에게 정상적으로 본문내용이 보여지지 않고 2차 악성 파일 다운로드 행위만 수행된다. 2020_XXXX_초전도 논문.hwp 학술대회.hwp 악성코드 제작자는 국내 학회지의 하계 논문 투고 기간이…

드론(무인항공기) 현황 내용의 한글(*.HWP) 악성코드 유포 중

ASEC 분석팀에서는 드론(무인항공기) 관련 내용의 악성 한글 문서(.HWP)가 유포되고 있음을 확인하였다. 아래 [그림1]과 같이 드론 현황 및 개선방안의 내용으로 구성되어 있으며 내부에는 악성 EPS를 포함하고 있다. [그림1] 문서 내용 [그림2] 문서 정보 문서 실행 시 내부의 악성 포스트스크립트(EPS)가 동작하여 악성 행위를 수행하게 된다. 해당 EPS는 CVE-2017-8291 취약점을 사용하여 내부의 쉘 코드를 복호화 후 실행한다. [그림3] 악성 EPS 감염 PC에서 현재 실행중인 모든 프로세스 정보를 조회하며 자사 V3 제품이 실행 중인지 검사하는 루틴이다. 비교 대상 값인 3376과 3356은 문자열로 “v3” 및…

ASEC 주간 악성코드 통계 ( 20200525 ~ 20200531 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 5월 25일 월요일부터 2020년 5월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 37.4%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 36.1%, RAT (Remote Administration Tool) 악성코드가 14.6%를 차지하였다. 뱅킹과 랜섬웨어 악성코드는 8.2%, 2.3%로 그 뒤를 따랐다. Top 1 –  GuLoader 34.7%를 차지하는 GuLoader 는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 진단을 우회하기 위해 Visual Basic 언어로 패킹되어 있으며 대부분 구글 드라이브를 악용하여 추가 악성코드를 다운로드한다. 탐지를 회피하기 위해 파일 형태가 아니라 메모리 상에 다운로드하며, 다운로드된 파일도 PE가 아닌…

악성 한글문서(.hwp) 주제별 연관성 분석

ASEC에서는 이전 블로그를 통해 최근 3개월간의 악성 한글 문서 유포 제목의 변화에 대해 공유하였다. 이번 블로그에서는 아래 링크의 블로그에 이어 분류 된 제목 카테고리들 간의 연관관계가 확인되어 그에 대해 자세히 설명한다. https://asec.ahnlab.com/1324 주제1, 주제2, 주제3 연관성 이전 블로그에서 언급했던 주제1(코로나 관련), 주제2(부동산 관련), 주제3(조력/풍력/수력 관련) 이 세 주제의 대표 한글 파일의 유사성들이 확인되는데 주제2, 주제3의 경우 EPS(Encapsulated PostScript)가 동작하는 핵심 쉘코드 명령 패턴이 비슷하며 주제1, 주제3의 경우 EPS 초반의 데이터 저장 및 실행 방식이 비슷하다. 또한 주제1, 주제2의 경우에는 최종 다운로드…