스팸메일

국내 포털 계정정보 탈취용 피싱메일 주의!

 ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 송장 관련 스팸 메일 첨부 파일 내부에 존재하는 HTML 해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다. 피싱 파일 내부 코드 리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할…

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. 유포 이메일 랜섬노트 MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해 유포되고 있다. 유포방식과 패커 사용에 대해서는 변한 점은 없지만 꾸준하게…

[주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포

최근 들어 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 악성코드가 유포되고 있다. 해당 파일명은 imageXXX_M-003 장비일람표.dwg.exe 형식을 가지며 주로 스팸 메일을 통해 유포되고 있는 것으로 추정된다. dwg 파일로 위장한 exe 실행파일 위와 같이 유포된 파일은 VB(VisualBasic) 아이콘을 사용하며 윈도우 폴더 기본 옵션인 확장명 숨기기 기능을 해제 할 경우 다음과 같은 dwg 파일명 뒤에 .exe 확장자가 추가적으로 붙은 것을 알 수 있다. 실제 해당 악성 파일은 Visual Basic 언어로 만들어진 exe 실행 파일이다. 주로 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 상용 빌더(Builder)…

국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드

최근 들어 국내 기업을 사칭한 이메일로 유포되는 악성코드가 증가하고 있다. 메일 내용은 수신인을 고려하여 절묘하게 작성되어 있어서, 공격 대상의 악성코드 실행 가능성을 높였다. 이메일은 lzh, r22 등의 압축 파일 포맷으로 된 첨부 파일로 포함하고 있다. 기존에 zip, egg 등의 좀 더 일반적인 파일 포맷을 이용한 것과는 비교되는 특징이다. 압축 파일 내부에는 악성 exe 실행 파일이 있고, 공격 대상이 이를 실행할 경우 악성 기능이 실행된다. 아래는 2월 10일 유포되었던 이메일이다. exe 실행 파일은 Visual Basic으로 만들어져 있다. 스팸 메일 등으로 유포되는…

송장 메일로 유포되는 엑셀 문서 주의 (2)

10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유포되고 있는 스팸 메일의 경우 드롭박스를 위장하여 악성 엑셀 문서를 유포한다는 점이다. 메일에 포함된 링크에는 “N98300_10.21.19.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일이 존재한다. 해당 메일의 경우 발송자를 “XX회계법인”으로 위장하였으며, 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 엑셀…