국내 유명 항공사로 위장한 피싱 메일 Posted By ASEC , 2022년 11월 30일 ASEC 분석팀은 최근 국내 유명 항공사를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱 메일은 항공권 결제에 대한 내용을 공지하며 자세한 항공권 가격과 사전 정보를 파악한 것으로 추정되는 내용과 함께 위장한 피싱 사이트 접속을 유도한다. 메일 제목 및 본문은 아래와 같다. 본문에 첨부된 HTML파일을 확인하면, 아래와 같이 국내 유명 항공사로 위장한 피싱 사이트로 연결된다. 해당 사이트는 국내 유명 항공사 경영 지원 부서의 출처로 위장하였으며, 항공권 확인증 PDF 출력을 요구하는 내용과 함께 피해자의 계정 정보 입력을 요구한다. 이 과정에서 사용자가…
ASEC 주간 악성코드 통계 (20221121 ~ 20221127) Posted By ASEC , 2022년 11월 29일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 21일 월요일부터 11월 27일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 40.3%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 35.8%, 백도어 16.3%, 랜섬웨어 7.2%, 코인마이너가 0.4%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 17.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일 주로 메일 즉 SMTP…
‘이력서.xll’ 파일 국내 유포 중 (LockBit 2.0) Posted By ASEC , 2022년 11월 29일 올해 중순에 ASEC 분석팀에서는 이메일을 통해 XLL 파일(확장자: .xll) 형식의 악성코드가 유포됨을 공유한 바 있다. XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가졌으나, Microsoft Excel(엑셀)을 통해 실행된다. 그동안 이 유형의 악성코드 유포가 활발하지 않았으나, 오랜만에 ‘이력서.xll‘의 파일명으로 유포된 정황을 확인하였다. 2022년 5월 20일 게시글 : 메일을 통해 유포되는 XLL 악성코드 2022년 11월 21일 게시글 : LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중 이전 블로그에서도 언급한 바와 같이, XLL 파일은 엑셀의 Add-in(추가 기능) 파일로 MS Excel을 통해 파일을 실행 할…
ASEC 주간 피싱 이메일 위협 트렌드 (20221113 ~ 20221119) Posted By ASEC , 2022년 11월 24일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT와 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 11월 13일부터 11월 19일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 또한 기존에 발견되지 않은 새로운 유형이나 주의해야 할 이메일을 키워드와 함께 소개하여 사용자 피해를 최소화하려고 한다. 본 포스팅에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 첨부파일 없이 악성 링크만 본문에 포함된 이메일은 대상에서 제외한다. 피싱 이메일 위협 유형 한 주간 피싱 이메일 첨부파일 중…
국내 매그니베르 유포에 활용되는 도메인 Posted By ASEC , 2022년 11월 23일 ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다. [그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier 이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월…