ASEC 주간 악성코드 통계 (20221212 ~ 20221218) Posted By ASEC , 2022년 12월 20일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 12월 12일 월요일부터 12월 18일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 61.9%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 24.7%, 백도어 12.5%, 랜섬웨어 0.9%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 28.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기 자신을…
국내 유명 금융 앱 사칭한 피싱공격 Posted By ASEC , 2022년 12월 14일 ASEC 분석팀은 최근 금융권의 정상 웹사이트를 타겟으로 한 악성 도메인들이 다수 생성된 정황을 확인하였다. 지난 11월 초부터 아래와 같이 네이버 고객센터를 사칭한 피싱메일의 유포가 다수 확인되었고, 이를 통해 해당 메일에 포함된 악성URL을 모니터링 하고 있었다.보낸사람의 Username은 ‘Naver센터’ 였으며, 내용은 연락처 변경알림 / 새 일회용번호 생성알림 / 타지역 로그인 알림 / 메일함용량 초과알림 / 접속시도 차단알림 등의 일반 사용자를 속이기 위한 다양한 내용이 확인되었다. 위의 첨부한 그림에서 ‘휴대전화 번호 확인하러 가기’ 링크를 클릭하면, 네이버 로그인화면을 사칭한 페이지가 확인되고 해당 페이지에 계정정보를…
ASEC 주간 악성코드 통계 (20221205 ~ 20221211) Posted By ASEC , 2022년 12월 14일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 12월 05일 월요일부터 12월 11일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 44.3%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 28.2%, 백도어 18.3%, 랜섬웨어 8.5%, 코인마이너가 0.7%로 집계되었다. Top 1 – Amadey Amadey Bot 악성코드는 이번 주 15.9%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이 사용될 경우에는 감염 시스템의…
다양한 플랫폼을 악용하는 Vidar Stealer Posted By ASEC , 2022년 12월 13일 Vidar 악성코드는 꾸준하게 유포 중인 정보탈취 유형의 악성코드로 최근 유포량이 눈에 띄게 늘었다. Telegram, Mastodon등의 유명 플랫폼을 중간 C2로 활용하는 것이 특징이다. 다음 링크는 Mastodon을 활용하여 악성 행위를 수행하는 사례에 대한 포스팅이다. 이후에도 Vidar 악성코드는 활발히 유포되며 지속적으로 버전이 업데이트되었고, 최근 유포 중인 샘플군에서는 Telegram, Mastodon 뿐만 아니라 Steam, TikTok 등 다양한 플랫폼이 사용되고 있어 관련 내용을 소개하고자 한다. 온라인 플랫폼의 계정을 생성하면 누구든지 접속이 가능한 계정 고유의 페이지가 만들어진다. 공격자는 이 페이지의 일부 공간에 식별 문자와 C2 주소를 작성한다….
Magniber Ransomware 12/9 유포 시작 코로나 관련 파일명 포함 유포 주의! Posted By ASEC , 2022년 12월 12일 안랩 ASEC 분석팀은 Magniber Ransomware가 2022.12.09에 재유포 되는 것을 확인하였다. 기존에 보안 업데이트 관련 파일명을 포함하여 코로나가 기승을 부리는 시기에 Magniber Ransomware도 코로나 관련 파일명을 포함하여 유포되는 것을 확인하였다. C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msiC:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi [표-1] 코로나 관련 유포 파일명 Magniber는 과거 Internet Explorer 취약점을 이용하여 사용자의 특별한 동작 없이 웹페이지 방문만으로 Drive by Download로 랜섬웨어를 감염시켰으나, MicroSoft에서 Internet Explorer의 서비스가 종료되자 새로운 브라우져의 취약점을 이용하는 것을 포기하고 사회공학적 기법을 이용하여 보안 업데이트나, 앞서 말한 것처럼 코로나 관련 파일명을 유표하여 실행을 사용자에게 맡기고 있다. 이는…
