인터넷 공유기 설치파일 위장한 AppleSeed 유포 Posted By ASEC , 2022년 5월 31일 ASEC 분석팀은 지난 05월 26일 AppleSeed 악성코드가 공유기 펌웨어 인스톨러로 위장하여 유포되는 정황을 포착하였다. 지금까지 알려진 AppleSeed는 주로 정상 문서 파일이나 그림 파일을 위장하여 유포되었다. AppleSeed를 생성하는 드로퍼 악성코드는 JS(Java Script), VBS(Visual Basic Script)와 같은 스크립트 포맷이 사용되거나 실행 파일 형태도 문서 파일을 위장한 pif 확장자를 가졌지만, 이번 사례에서는 다음과 같이 설치 프로그램을 위장한 아이콘과 파일명이 사용되었다. 파일명 : firmware upgrade installer.exe EXE 실행 파일의 동작 방식은 사용자가 해당 파일을 실행시키면 아래와 같이 특정 공유기의 펌웨어 업그레이드 설치로 위장한 팝업창이…
ASEC 주간 악성코드 통계 ( 20220523 ~ 20220529 ) Posted By ASEC , 2022년 5월 30일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 23일 월요일부터 5월 29일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 76.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.6%, 다운로더 5.2%, 랜섬웨어 1.3%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla 가 32.3%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…
다수의 악성 파일들이 포함되어 있는 NSIS 설치파일 악성코드 Posted By ASEC , 2022년 5월 27일 ASEC 분석팀은 최근들어 NSIS 설치 파일을 통하여 다수의 악성 파일들을 배포하고 있는 정황을 확인하였다. NSIS는 Nullsoft Scriptable Install System의 약자로 본래는 특정 프로그램의 설치 파일을 제작하기 위한 목적으로 사용되나, 스크립트 기반으로 동작하는 방식이다 보니 외형적으로 NSIS 설치 파일들의 형태가 거의 동일하여 악성코드 제작에 많이 사용되기도 한다. NSIS 설치파일 형태의 악성코드는 예전부터 많이 이용해왔던 방식이며, 이 글에서 다루는 악성코드는 다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태로, 파일 하나를 실행하면 다양한 악성코드가 실행된다. 해당 NSIS 설치 파일의 내부를 살펴보면 아래와 같이…
ASEC 주간 악성코드 통계 ( 20220516 ~ 20220522 ) Posted By ASEC , 2022년 5월 25일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 16일 월요일부터 5월 22일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 71.8%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.1%, 다운로더 3.7%, 랜섬웨어 3.3%, 뱅킹 1.7%, 백도어 0.4% 로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla 가 32.8%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다….
윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla Posted By ASEC , 2022년 5월 23일 ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다. 악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자의 주의가 필요하다. 피싱 메일에 첨부된 압축 파일을 압축 해제하면 악성 CHM 파일이 존재하며, 해당…
