스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla) Posted By ohmintaek , 2023년 9월 27일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인…
견적, 구매 메일로 위장해 유포되는 Formbook 악성코드 Posted By ASEC , 2020년 7월 6일 Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. https://asec.ahnlab.com/1343 ASEC 분석팀에서는 Formbook 악성코드 유포에 사용되는 대표적인 악성 메일과 첨부된 악성코드에 대한 분석 정보를 소개하고자 한다. 악성 메일은 위와 같이 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을…
스팸 메일로 유포되는 Hancitor 악성코드 재활동 Posted By ASEC , 2018년 3월 22일 스팸 메일에 첨부되어 유포되는 Microsoft Office 문서 파일 악성코드 중 Hancitor (Chanitor) 유형이 2016년 이후 다시 활발히 유포되고 있는 정황이 확인되었다. Hancitor 악성코드는 VBA 매크로를 이용하여 ‘사용자 정의 폼’ 내부의 암호화 된 쉘코드를 이용하여 생성한 PE를 정상 프로세스에 인젝션하여 악성 기능을 수행한다. 관련하여 2016년 다음과 같은 제목으로 본 블로그에 분석 정보를 제공하였다. ‘MS 워드 문서에서 폼 개체를 활용한 악성코드’ – http://asec.ahnlab.com/1052 최근 유포되고 있는 Hancitor 악성코드는 2016년과 비교했을 때 폼 개체 이용 및 프로세스 인젝션을 비롯한 전체적인 동작 방식에는 큰 변화가 없다. 부분적으로 쉘코드 생성 후 실행을 위한 Windows API가 달라지고 인젝션 대상 프로세스가 달라지는 차이가 확인되었다. 1. Microsoft Office 문서 파일 VBA 코드는 파일마다 난독화 방식에 차이가 있으나, 공통적으로 내부 바이너리를 이용하여 쉘코드가 메모리에 로드 및 실행되도록 한다. 이…
UPS Delivery Problem NR.숫자 Posted By ASEC , 2010년 1월 12일 최근 택배와 관련된 메세지를 이용하여 악성코드를 전파하고 있는 스팸메일이 발견되어 포스팅 합니다. 제목 : UPS Delivery Problem NR.숫자 Hello! We failed to deliver your postal package which was sent on the 13th of July in time because the addressee's address is erroneous. Please print out the invoice copy attached and collect the package at our office. United Parcel Service of America. 위와 같은 메일에 아래와 같이 엑셀 아이콘의 실행파일이 첨부되어 있다면 해당 파일을 실행하지 마시기 바랍니다. 현재 해당 파일은 V3 제품군에서 Dropper/Malware.36352.Y 진단명으로 진단하고 있습니다. 1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다. 2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다. 3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다….
, 스팸 메일 주의! Posted By ASEC , 2009년 10월 29일 Facebook 메일을 위장한 아래 그림의 스팸 메일이 발송되고 있습니다. 필자도 페이스북을 사용하고 있는데 실제 페이스북 UI와 흡사하여 실제 사이트인지 분간하기 어려웠습니다. 하지만 특정 사이트에서 업데이트 파일을 수신하라고 직접 메일을 보내는 경우는 보기 드물고 해당 사이트의 홈페이지 공지 등에서 관련 내용이 없다면 의심해 보아야 할 것입니다. 상기 스팸메일 내 “Update” 버튼이나 “here” 부분을 클릭하면 아래 페이지로 이동하게 됩니다. 상기 페이지에 email과 password를 임의로 입력하여도 접속이 되며 아래 페이지로 이동하게 됩니다. 상기 그림에서 빨간색 네모 안의 “updatetool.exe” 파일을 다운로드하고 설치하게 유도를 합니다. 하지만 다운로드한 파일은 업데이트를 위한 파일이 아닌 V3에서 아래 진단명으로 진단하는 악성파일입니다. updatetool.exe – Win-Trojan/ZBot.105472.C 최근에 계속 연재하고 있는 스팸메일들을 보면 사회공학적 기법들을 많이 사용하고 있습니다. 신뢰할 수 있는 사람이나 기업에서 보낸 메일처럼 위장하여 악성파일을 다운로드하여 실행하게 하거나 계정정보를 탈취하고…