[주의] 이력서로 위장한 makop 랜섬웨어 (04.13) Posted By ASEC , 2020년 4월 13일 ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. 유포 이메일 랜섬노트 MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해 유포되고 있다. 유포방식과 패커 사용에 대해서는 변한 점은 없지만 꾸준하게…
새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) Posted By ASEC , 2020년 4월 2일 안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 ‘이력서’, ‘포트폴리오’, ‘부당 전자상거래 위반행위’ 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다. 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe 랜섬웨어 주요 기능상의 변화는 확인되지 않았지만, NEMTY v2.x과 다르게 감염…
3월 3일!! 또 다시 ‘전자상거래 위반행위 사칭’ 신종 랜섬웨어 유포 중 Posted By ASEC , 2020년 3월 3일 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 ‘부당 전자상거래 위반행위’ 및 ‘이력서’ 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.06 – [악성코드 정보] – 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어…
[주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23) Posted By ASEC , 2020년 1월 23일 ASEC 분석팀은 1월 23일 채용 시즌에 맞춰 이력서로 가장한 정보유출 악성코드가 국내에 유포 중인 것을 확인하였다. 기존 이력서 가장한 악성코드들은 비너스락커부터 랜섬웨어를 지속적으로 유포하였었는데, 오늘 발견된 이력서 악성코드는 정보유출 (infostealer) 인 점이 가장 큰 특징이다. 파일의 외형적 특징으로는 Bluecrab, Nemty, Paradise 랜섬웨어와 동일한 패커(Packer)를 사용하였다. 유포 파일명 이력서(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe 포트폴리오(200123)뽑아주시면열심히하겠습니다잘부탁드리겠습니다.exe 파일이 실행되면 %APPDATA%AnyDesk NetworkAnyDesk.exe 로 자가복제 후 실행되며 최초 실행 한 파일은 삭제된다. AnyDesk.exe로 실행 된 파일에 의해 사용자 PC에서 아래 정보들을 탈취한다. 계정정보 탈취 (파일 참조) %AppData%RoamingFTP Explorerprofiles.xml %AppData%RoamingFTPGetterservers.xml %AppData%RoamingMySpaceIMusers.txt %AppData%RoamingDigsbydigsby.dat…
입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe) Posted By ASEC , 2019년 11월 12일 2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다. 해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일(“최혜은.7z”) 내부에는 한글문서파일(.hwp)로 보이지만 실제로는 한글문서 아이콘을 갖는 실행파일(*.EXE)이 존재한다. 유포자는 .hwp 확장자와 .exe 확장자 사이에…
