악성코드

다양한 그룹웨어를 사칭하여 유포되고 있는 피싱 스크립트파일

작년 5월, ASEC 분석팀에서는 TI 분석보고서와 ASEC블로그를 통해 ‘국내 메일 서비스 사용자를 타겟으로 한 피싱 사이트’에 대해 소개한 바 있다. 당시에는 네이버 웍스(NAVER WORKS)/메일 플러그(MAILPLUG)/하이웍스(hiworks)/천리안/다음 사용자를 대상으로 사용자 정보를 유출한 내용을 소개하였다. 기업용 그룹웨어 로그인 페이지를 가장하여 사용자 계정정보를 유출하기 위한 파일들은 매우 흔하게 유포되어 온 피싱 유형 중 하나이며, 메일 제목,내용/첨부파일명/스크립트 코드 등에서 사소한 변형을 사용하고 있다. 국내 사용자들이 많이 이용하는 해당 그룹웨어들을 사칭하는 것은 동일하지만, 이번에는 공격자가 보다 간단한 방식을 사용하며 동일한 스크립트 파일을 수신인에 맞게 다양한 파일명으로…

대북 관련 한글문서(HWP) 유포 중

ASEC 분석팀은 최근 대북 관련 악성 한글 문서 파일을 유포 중인 정황을 확인하였다. 동작 방식은 취약점이 아닌 문서 실행 시 노출되는 화면에 사용자 클릭을 유도하는 하이퍼 링크를 삽입하고, 이를 클릭 시 문서 내부에 포함된 실행 파일들이 동작하는 방식이다. 이처럼 문서 내부에 실행 파일들이 존재하는 것은 정상 한글문서에서도 확인되는 특징으로 개체 삽입을 통해 가능한 정상적인 기능이라고 할 수 있다. 감염되면 작업스케줄러를 통해 121분마다 자동 실행되도록 설정되어 있으며, 추가 외부 악성파일을 구글 드라이브(https://drive.google.com)를 통해 다운로드할 수 있는 구조이다. 또한, 동작 과정에서 V3…

“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드

ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을 통해 유포되어 로더를 거쳐서 실질적인 메인 모듈을 다운로드받아 악성행위를 수행한다. 이번에 확인된 Dridex 악성코드 유포방식은 다음과 같은 흐름과 특징을 갖는다. 불특정다수 일반 사용자를 대상으로 피싱메일이 유포됨 백신탐지 우회 목적으로 문서…

보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드

ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다. FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는 주간 악성코드 통계에서도 매번 순위권에 존재하는 만큼 유포가 매우 활발한 것을 알 수 있으며, FormBook 악성코드에 대한 상세 정보는 아래에 링크한 게시글을 통해 확인 가능하다. 또한, ASEC블로그에서 자주 소개한 바와…

블랙프라이데이 시즌을 노린 기업 타겟 악성 엑셀 문서 유포

블랙프라이데이 시즌을 노린 악성 엑셀 문서가 기업을 대상으로 유포되고 있다. 오늘 11월 25일 확인된 이메일은 국내 모 기업에서 접수되었다. 이메일은 엑셀 문서를 첨부 파일로 포함하고 있었다. 엑셀 문서는 XLSB 엑셀 바이너리 포맷의 Excel 4.0 Macro (XLM) 매크로시트를 포함한 파일로서, 실행 대상 시스템의 도메인 컨트롤러 여부를 확인하여 추가 악성 기능이 실행한다. 첨부된 엑셀 문서는 파일명이 ‘promo details-[숫자].xlsb’ 형식이고 XLSB 파일 포맷인 것이 특징이다. XLSB은 엑셀 바이너리 파일 포맷으로서, 기존의 XLS 또는 XLSX 파일과는 다소 다른 파일 구조를 보인다. XLSX가 스트링 기반의…