Microsoft 계정 탈취 피싱 페이지는 진짜와 얼마나 비슷할까? Posted By ASEC , 2022년 12월 6일 국내외 많은 기업과 개인 사용자가 Microsoft 계정을 이용하여 Outlook, Office, OneDrive, Windows를 비롯한 Microsoft의 주요 서비스를 이용하고 있다. 사용자는 통합 로그인을 이용하여 계정과 연결된 모든 Microsoft 서비스에 편리하게 접속할 수 있다. 공격자 입장에서는 어떨까? 단 한 개의 계정을 이용하여 취할 수 있는 정보가 많기 때문에 더없이 좋은 공격 타깃이다. 특히 기업 내에서 민감 정보를 취급하는 사용자인 경우에는 Microsoft 계정으로 얻을 수 있는 정보가 이른바 ‘영양가’가 넘칠 것이다. 이와 같은 이유로 로그인 계정(Credentials) 유출 목적의 피싱 이메일 중 상당수가 Microsoft 계정을…
ASEC 주간 악성코드 통계 (20221128 ~ 20221204) Posted By ASEC , 2022년 12월 6일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 28일 월요일부터 12월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 34.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 28.2%, 백도어 21.1%, 랜섬웨어 14.6%, 코인마이너가 0.3%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 14.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기…
준정부기관을 사칭한 피싱 메일 유포 Posted By ASEC , 2022년 12월 5일 ASEC 분석팀은 최근 비영리 정부기관을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 중소벤처기업진흥공단(KOSME)에서 서비스하는 고비즈코리아(GobizKOREA)의 로그인 화면을 위장한 웹페이지를 사용하여 사용자의 로그인을 유도하기 때문에, 무역 분야에 종사하는 사용자들의 각별한 주의가 필요하다. 피싱메일의 제목 및 본문은 다음과 같다.메일 본문에는 바이어의 새로운 문의가 등록되었다는 내용이 있으며, 본문에 포함된 다섯개의 모든 하이퍼링크에는 고비즈코리아 로그인페이지를 위장한 링크가 연결되어있어서 어떤 하이퍼링크를 클릭하더라도 공격자가 의도한 페이지로 접속하는 것을 유도한다. 본문의 해당 하이퍼링크를 통해 웹페이지에 접속하면 아래와 같은 로그인 페이지가 확인된다. text 필드로 사용하는 input type의 style 태그가…
ASEC 주간 피싱 이메일 위협 트렌드 (20221120 ~ 20221126) Posted By ASEC , 2022년 12월 2일 ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 11월 20일부터 11월 26일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….
위장 파일명으로 유포되는 악성코드(RIGHT-TO-LEFT OVERRIDE) Posted By ASEC , 2022년 11월 30일 ASEC 분석팀에서는 지난 8월 RIGHT-TO-LEFT OVERRIDE(이하 RTLO) 를 이용한 파일명을 사용하여 유포되고 있는 악성코드에 대한 블로그를 게시했다. RTLO는 설명된 내용처럼 오른쪽에서 왼쪽으로 오버라이드 하는 유니코드이다. 이를 이용하여 파일명과 확장자를 섞어 사용자의 실행을 유도하는 방식의 악성코드 유포는 현재도 계속되고 있다. GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴 이전 블로그 포스팅 내용을 토대로 GitHub에서 검색 시 Commits 된 게시글은 금일(2022.11.30)기준 304건이 조회된다. 몇 개의 계정으로 다수의 악성코드를 정상 코드처럼 등록했으며 기존 게시된 솔루션 위장 악성코드 파일만 새로운 악성코드로 업로드하여 유지된 게시글도 존재했다. RTLO…