웹 브라우저 자동 로그인 기능에 저장된 계정을 노리는 RedLine Stealer

안랩 ASEC 분석팀은 최근 한 기업의 내부 망 침해 사고 조사에서 기업 망 접근에 사용된 VPN 계정이 재택 근무 중인 한 직원의 개인 PC에서 유출된 것임을 확인했다. 피해가 발생한 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정/패스워드를 웹 브라우저에 저장하고 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의…

보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드

ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다. FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는 주간 악성코드 통계에서도 매번 순위권에 존재하는 만큼 유포가 매우 활발한 것을 알 수 있으며, FormBook 악성코드에 대한 상세 정보는 아래에 링크한 게시글을 통해 확인 가능하다. 또한, ASEC블로그에서 자주 소개한 바와…

ASEC 주간 악성코드 통계 ( 20211129 ~ 20211205 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 11월 29일 월요일부터 2021년 12월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 31.4%로 1위를 차지하였으며, 그 다음으로는 코인마이너가 25.6%, 인포스틸러가 22.3%, RAT (Remote Administration Tool) 악성코드가 20.1%, 랜섬웨어가 0.4%, 뱅킹 악성코드가 0.1%로 집계되었다. Top 1 –  BeamWinHTTP 30.9%로 지난주에 이어 1위를 기록한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인…

디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드

ASEC 분석팀은 국내 사용자를 대상으로 한 악성 워드 문서가 유포되고 있음을 확인하였다. 파일명은 디자인수정 요청.doc 로 아래와 같이 매크로 실행을 유도하는 이미지가 포함되어있다. 해당 워드 파일 내부에는 아래와 같이 hxxp://filedownloaders.com/doc09 에서 추가 파일을 다운로드하는 악성 매크로가 포함되어있다. 사용자가 콘텐츠 사용 버튼 클릭 시 매크로가 자동으로 실행되어 추가 악성 파일을 다운로드한다. 이후 다운받은 temp.doc 문서 파일을 실행한다. 해당 워드 문서는 아래와 같이 국내 기업을 사칭한 내용을 담고 있다. temp.doc 에는 앞서 다운로드한 no1.bat 파일을 실행시키는 매크로가 포함되어 있다. 워드 파일을 통해…

국세청 사칭 메일을 통해 Lokibot 악성코드 유포 중

ASEC 분석팀은 최근 홈택스를 사칭한 악성 메일이 꾸준히 유포되고 있음을 확인하였다. 메일 발신인의 주소는 지난해와 마찬가지로 홈택스를 위장한 hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr 이며 본문 내용 역시 전자 세금 계산서 관련 내용이 포함되어 있다. 해당 유형의 메일은 과거부터 꾸준히 유포되고 있으며, 지난해 ‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’ 글에 공유된 사칭 메일의 경우 악성 매크로가 포함된 PPT 파일이 첨부되어 있었으나 최근에는 악성 실행 파일을 압축한 형태로 유포되고 있다. 메일에 첨부된 압축 파일 내부에는 아래와 같이 실행 파일이 존재한다. 파일명에 메일 본문에 작성된 발행일과 동일한…