Magniber 랜섬웨어의 유포 중단 (2/5 이후) Posted By ASEC , 2022년 2월 9일 안랩 ASEC 분석팀은 브라우져 온라인 광고 링크를 통해 악성코드를 유포하는 멀버타이징(Malvertising)을 지속적으로 모니터링 하고 있다. 최근 이러한 멀버타이징(Malvertising) 을 통해 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어가 유포를 멈추는 정황이 포착되었다. 매그니베르 랜섬웨어의 멀버타이징의 유포방식은 인터넷 익스플로러(Internet Explorer)일 경우, 취약점을 통해 접속만으로 감염을 시도하고 크로미움(Chromium)기반 브라우져(ex_ edge, chrome)의 경우, 브라우져 업데이트 설치파일(.Appx)로 가장하여 다운로드를 유도한다. 위 설명한 두 가지 유포가 2022년 02월 05일 을 기점으로 유포를 멈추는 정황이 보여지고 있다. 아래 [그림 1~3] 은 위에 설명한 두 가지 방식의 유포 건 수를…
Cryptbot 과 동일한 방식으로 PseudoManuscrypt 국내 유포 중 Posted By ASEC , 2022년 2월 9일 ASEC 분석팀은 지난 2021년 5월 경부터 현재까지 PseudoManuscrypt 악성코드가 국내 유포 중인 정황을 포착하였다. PseudoManuscrypt 악성코드는 ASEC 블로그에 소개해왔던 Cryptbot 악성코드와 유사한 형태의 설치 파일로 위장하여 유포되고 있으며 파일의 형태 뿐만 아니라, 검색 엔진에 Crack, Keygen 등 상용 소프트웨어 관련 불법 프로그램에 대해 검색할 경우 상위에 노출되는 악성 사이트를 통해 유포되는 방식도 Cryptbot 과 동일하다. 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 PseudoManuscrypt 진단 로그 중 아래와 같은 실행 파일 경로를 확인하였으며, 윈도우 정품 인증 프로그램을 악성 사이트에서 다운 받으려던 것으로…
ASEC 주간 악성코드 통계 ( 20220131 ~ 20220206 ) Posted By ASEC , 2022년 2월 9일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 1월 31일 월요일부터 2월 6일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 61.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 18.9%, 뱅킹 악성코드 11.3%, 랜섬웨어 4.4%, 다운로더 3.8% 로 집계되었다. Top 1 – AgentTesla 이번주도 AgentTesla가 40.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…
국내 유명 포털 서비스로 위장한 피싱 메일 Posted By ASEC , 2022년 2월 8일 ASEC 분석팀은 최근 국내 유명 포털 서비스를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 해당 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다. 메일 제목 및 본문은 아래와 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다. 본문 메일에 연결된 링크로 접속하면, 아래와 같은 국내 유명 포털 서비스를 사칭한 피싱사이트로 연결된다. 피싱 사이트 URL : hxxp://www.eylulrentacar[.]com/indexh.html 정상적인 포털 서비스 로그인 사이트와 달리 피싱 사이트는 일회용 번호, QR코드, 비밀번호 찾기,…
엑셀 문서를 통해 Emotet 악성코드 국내 유포 중 Posted By ASEC , 2022년 2월 4일 ASEC 분석팀은 최근 Emotet 악성코드를 다운로드하는 악성 엑셀 문서가 활발히 유포되고 있음을 확인하였다. 지난달 ‘엑셀 파일을 통해 유포 중인 Emotet 악성코드’를 통해 해당 유형의 악성코드에 대해 소개하였다. 당시에는 매크로 시트를 활용한 유형의 엑셀 문서만 확인되었지만, 최근에는 VBA 매크로를 이용하여 악성 행위를 수행하는 유형도 추가되었다. 유포 메일에는 암호가 설정된 압축 파일이 첨부되어 있으며, 압축 파일 내부에는 엑셀 문서가 존재한다. Scan_2456321.xlsx 파일의 경우 이전과 동일하게 Auto_Open으로 설정되어 있는 셀의 수식을 통해 악성 명령어를 실행한다. 숨겨진 시트에는 [그림 5]와 같은 수식이 존재하여 사용자가…