메일

급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

압축 툴마다 압축해제 방식의 차이를 이용한 공격기법 (WinRAR 사용유도)

ASEC 분석팀은 3월 23일 비 정상적인 압축 악성 파일이 메일을 통해 유포되고 있음을 확인하였다. 메일의 내용은 아래의 그림과 같고, 첨부파일은 ZIP 확장자이나, “Use Winrar.” 라는 문구를 포함하여 특정 압축해제 프로그램으로 압축해제를 유도한다. [그림  .1]  메일로 유포된 압축 파일 형태의 악성코드 압축된 악성 코드가 메일을 통해 유포되는 방식은 이전부터 알려진 방식이다. 그러나 해당 메일의 경우 사용자에게 [그림 1.]의 빨간 글씨(Use Winrar)와 같이 ‘WinRAR’로 압축 해제할 것을 유도한다. 해당 방식으로 유포된 샘플은 현재까지 총 2가지 이름으로 확인되었다. MV_GLOVIS_B35C_191850_12_02_2020.zip Scan_Covid19_2020.zip 아래 설명부터는 코로나 이름과 관련된…

안랩, 휴가철 노리는 악성코드 주의보

-접속자 수 많으면서 보안 취약한 여행사 홈페이지에 악성코드 몰래 삽입  -웹사이트 방문만으로도 금융정보 노리는 파밍 악성코드 설치  -백신 업데이트, 수상한 메일 첨부파일 실행 금지 등 보안수칙 준수  많은 직장인이 애타게 기다려온 여름 휴가가 있는 8월이다. 하지만 휴가철을 맞아 들뜬 마음으로 여행을 계획하는 사이에 자신의 금융정보가 유출될 수도 있다.   안랩[대표 김홍선, http://www.ahnlab.com]은 최근 각종 여행상품을 판매하는 여행 전문 웹사이트에서, 금융정보를 유출하는 악성코드 유포가 발견되어 사용자들의 주의가 필요하다고 발표했다.   이번 악성코드는 휴가철을 맞아 접속 빈도가 높아진 온라인 여행사의 홈페이지에 삽입되어 자동으로 설치되는 것이 특징이다. 따라서 사용자가 보안이 소홀한 여행사 홈페이지를 방문하기만 해도, 해당 홈페이지에 몰래 삽입된 악성코드가 자동으로 사용자 PC를 감염시킨다.   이 때 다운로드 되는 악성코드는 사용자의 금융정보를 탈취하기 위해, 공격자가 만들어 놓은 파밍사이트로 사용자의 접속을 유도하는 기능을 가지고…

유명 SNS 사칭 악성 이메일 주의 당부

– 페이스북을 사칭한 발신자로 첨부파일 실행유도  – 첨부파일 실행 시 사용자 동의 없이 외부 통신을 위한 포트개방  – 의심스러운 메일 첨부파일 실행 자제 및 백신 업데이트 철저 글로벌 보안 기업 안랩[구 안철수 연구소, 대표 김홍선, http://www.ahnlab.com]은 SNS[소셜네트워크서비스] 사용인구가 증가하는 가운데, 최근 유명 SNS 플랫폼 페이스북 알림메일을 사칭한 악성메일이 발견되어 사용자 주의가 요구된다고 밝혔다.   안랩의 월간 보안 보고서인 ASEC리포트 최신호에 따르면 ‘당신과 함께 찍은 사진을 업로드 했다[ALFRED SHERMAN added a new photo with you to the album]’라는 제목의 이 악성메일의 발신자는 자세한 주소 없이 ‘Facebook’으로만 표시되어 있다. 본문에는 “새로운 사진이 앨범에 등록되었으니 확인하려면 첨부된 파일을 확인하라[One of your friends added a new photo with you to the album, View photo with you in the attachment]”는 내용이 적혀있다. 첨부된 zip파일의 압축을…