악성코드 제작 툴을 위장하여 유포 중인 ClipBanker 악성코드 Posted By Sanseo , 2022년 3월 18일 ASEC 분석팀은 최근 ClipBanker 악성코드가 악성코드 제작 툴로 위장하여 유포되고 있는 것을 확인하였다. ClipBanker 악성코드는 감염 시스템의 클립보드를 모니터링하면서 코인 지갑 주소 문자열이 복사된 경우 공격자가 지정한 지갑 주소로 변경시키는 기능을 갖는 악성코드이다. 이러한 유형의 악성코드는 과거부터 꾸준히 유포되고 있으며, 다음 블로그에서도 소개된 바 있다. ClipBanker 악성코드가 유포되고 있는 사이트는 다음과 같이 “Russia black hat”이라고 하는 곳으로서 악성코드 제작 툴을 포함한 다양한 해킹 관련 프로그램들이 업로드되어 있는 곳이다. 즉 해당 공격자는 다른 공격자들을 대상으로 악성코드 제작 툴뿐만 아니라 또 다른…
윈도우 도움말 파일(*.chm)로 유포되는 APT 공격 Posted By ASEC , 2022년 3월 17일 ASEC 분석팀은 최근 윈도우 도움말 파일(*.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있음을 확인하였다. chm 파일은 컴파일 된 HTML Help 파일로 microsoft® html help executable 프로그램을 통해 실행된다. 최근 확인된 chm 파일은 실행 시 추가 악성 파일을 다운로드하며 이 과정에서 정상적인 내용을 담은 창이 실행되어 사용자가 악성 파일 임을 인지하기 어려운 특징이 존재한다. 악성 코드는 아래와 같이 압축 파일 형태로 메일에 첨부되어 유포된다. 첨부된 압축 파일 내부에는 워드 문서와 rar 파일이 포함되어 있다. RAR 파일 내부에는 악성 파일인 Guide.chm이 존재한다….
윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드 Posted By Sanseo , 2022년 3월 16일 ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다. 다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다. ”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에…
ASEC 주간 악성코드 통계 ( 20220307 ~ 20220313 ) Posted By ASEC , 2022년 3월 16일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 7일 월요일부터 3월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.2%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 12.4%, 다운로더 6.8%, 뱅킹 악성코드 5.9%, 랜섬웨어 2.7%, 백도어 0.3% 로 집계되었다. Top 1 – AgentTesla 이번주는 인포스틸러 악성코드인 AgentTesla 가 29.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다….
제품소개서로 위장한 악성 워드 문서 Posted By ASEC , 2022년 3월 14일 ASEC 분석팀은 작년 12월에 게시한 <디자인수정 요청 문서로 위장한 정보 탈취 목적의 악성 워드>와 동일한 유형의 워드 문서를 확인하였다. 이번에 확인된 워드 문서의 제목은 ‘제품소개서.doc’이며 내부에 특정 제품들에 대한 설명을 포함하고 있는 것으로 보아 물류, 쇼핑 관련 업체를 타겟한 공격으로 추정된다. 확인된 워드 문서 내부에는 이전과 동일한 이미지가 포함되어 있어 매크로 실행을 유도한다. 해당 워드 문서는 ‘디자인수정 요청.doc’ 파일과 만든 날짜, 만든 이와 마지막으로 수정한 사람 정보가 모두 동일하다. 이를 통해 공격자가 동일한 파일을 수정하여 사용하고 있는 것으로 추정된다. 문서…
