국내 매그니베르 유포에 활용되는 도메인 Posted By ASEC , 2022년 11월 23일 ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, 다음과 같이 파일이 다운로드 된 URL에 대해 확인이 가능하다. [그림 1] 매그니베르(Magniber) 수집 당시 확인한 Zone.Identifier 이를 바탕으로 수집한 Domain 과 IP를 조사한 결과 10월~11월…
ASEC 주간 악성코드 통계 (20221114 ~ 20221120) Posted By ASEC , 2022년 11월 22일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 14일 월요일부터 11월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 53.2%로 1위를 차지하였으며, 그 다음으로는 백도어가 24.1%, 인포스틸러 21.1%, 랜섬웨어 1.0%, 코인마이너가 0.4%, 뱅킹 0.2%로 집계되었다. Top 1 – BeamWinHTTP 30.5%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를 설치하고, 동시에 추가 악성코드를 다운로드하여 설치할…
국내 유명 웹메일 로그인 사이트로 위장한 피싱 사이트 유포 Posted By ASEC , 2022년 11월 22일 ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다. 해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다. 피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다….
LockBit 랜섬웨어 유사 파일명 형태로 대량 유포 중 Posted By ASEC , 2022년 11월 21일 ASEC 분석팀은 지난 3차례에 걸쳐 LockBit 랜섬웨어가 메일을 통해 유포되고 있음을 ASEC 블로그에 게시한 바가 있는데, 꾸준한 모니터링을 통해 LockBit 2.0과 LockBit 3.0 랜섬웨어가 파일명만 변경하여 또 다시 유포 중임을 알리고자 한다. 이번 유포 방식은 이전에 소개하였던 워드 문서나 저작권 사칭 메일이 아닌 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 피싱 이메일에 첨부된 압축 파일은 [사람이름].zip 형태로 존재하고, 내부에는 추가적인 압축 파일이 존재한다. 추가 압축 파일 내부에는 사진 파일을 위장한 LockBit 2.0 랜섬웨어와 정상 엑셀 파일을 확인할 수 있다….
나의 전화번호는 어떻게 유출될까? Posted By ASEC , 2022년 11월 21일 개인정보보호법은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다. 이 글에서는 개인정보인 전화번호를 수집하는 PUP 프로그램에 대해 소개한다. [그림 1]은 “OOO 중고나라 전화번호 추출 프로그램” 의 파일명을 갖는 PUP 프로그램이다. 중고나라는 OOO의 카페로 회원수 1900만명을 보유한 카페이다. 해당 카페의 회원들이 사용하지 않는 중고물품을 등록하여 판매하는 사이트이다….
