인포스틸러

인포스틸러 공격자들이 수익을 얻는 방식

인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 2022년 3분기 ASEC 리포트에 따르면, 인포스틸러는 실행 파일 포맷 기준 고객사로부터 접수되거나 수집된 악성코드 유형 중 절반이 넘는 수를 차지하고 있다. 다운로더 유형의 악성코드들도 실질적으로 인포스틸러나 백도어 유형의 악성코드들을 설치하기 때문에 유포되는 수량으로 따지자면 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다고 할 수 있다.[1] 일반적으로 인포스틸러는 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의…

진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF)

MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다. 업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다. 해당…

.NET 외형의 FormBook 악성코드 유포 중

안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적 행위 패턴이 확인되지 않은 악성코드를 선제적으로 격리하여 사용자를 보호할 수 있는 장점이 있다. 아래 소개하는 FormBook(폼북) 악성코드는 사용자가 웹 브라우저 이용 도중 시스템에 다운로드 되어 실행된 악성코드이다. 이후 V3 제품의…

V3 Lite 아이콘을 위장하여 유포되는 악성코드

ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다. 위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다. AveMaria 악성코드는 원격제어 기능의 RAT(Remote Administration Tool) 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 AveMaria 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 AgentTesla, Lokibot, Formbook…

메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나,…