견적서 요청 피싱메일로 위장한 Lokibot 악성코드 Posted By ASEC , 2021년 4월 20일 ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다. 이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이 특징이라고 할 수 있다. 메일 본문의 내용은 매우 간단하지만 관련 업무를 수행하고 있다면 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 의심 없이 첨부 파일을 실행해 볼 가능성이 존재한다. 첨부파일을…
구매 주문서 메일로 위장하여 유포 중인 Lokibot 악성코드 Posted By ASEC , 2020년 8월 30일 Lokibot 은 인포스틸러 악성코드로서, 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 계정 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 꾸준히 유포되고 있는 악성코드이지만, 아래의 주간 통계에서 확인되듯이 최근까지도 Top 5에 매주 포함되고 있는 것을 확인할 수 있다. asec.ahnlab.com/1371 Lokibot은 최근 AgentTesla, Formbook, AveMaria 등의 악성코드와 유사하게 대부분 스팸 메일을 통해 유포되고 있다. 또한 진단을 우회하기 위해 위의 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 패킹되어 유포 중이다. 다음은 유포에 사용된 스팸 메일로서 아래와 같이 전형적인 구매 주문서(P.O. – Purchase Order) 관련 내용을 담고 있으며 첨부 파일 실행을 유도한다. 첨부 파일을 확인해 보면 cab 포맷의 압축 파일이 존재하며, 압축 파일을 풀면 exe 파일이 추출되는데, 이것이 Lokibot 악성코드이다. 만약 사용자가 위의 첨부 파일을 압축 해제한 후 구매 주문서 파일로 착각하고…
