Amadey Bot을 설치하는 Nitol DDoS 악성코드 Posted By Sanseo , 2022년 12월 12일 ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다. Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit…
악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개 Posted By ASEC , 2022년 11월 8일 한동안 유포가 중단되었던 크랙 위장 드로퍼 악성코드가 다시 활발하게 유포되고 있다. 해당 악성코드를 실행할 경우 동시에 수많은 악성코드에 감염된다. 악성코드 “폭탄”인 셈이다. 상용 프로그램의 크랙으로 위장한 악성코드 유포는 “단일 악성코드” 유형과 “드로퍼형 악성코드” 유형으로 양분되어 활발하게 유포되었다. ASEC 분석팀에서는 이러한 악성코드 유포를 상세히 모니터링 중이며 블로그 포스팅을 통해 여러 번 소개한 바 있다. 악성코드는 검색엔진에서 상위에 노출되는 악성 사이트로 부터 유포된다. 공격자는 다양한 키워드를 활용하여 크랙 다운로드 사이트로 위장한 수많은 악성 사이트를 제작하였으며 해당 페이지에서 Download 버튼 등을 클릭 시…
신종 정보 탈취 악성코드 “ColdStealer” 유포 중 Posted By ASEC , 2022년 2월 21일 ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…
유튜브를 통해 유포 중인 RedLine 인포스틸러 Posted By ASEC , 2020년 12월 7일 ASEC 분석팀은 최근 RedLine 인포스틸러 악성코드가 크랙 프로그램 다운로드 링크로 위장한 유튜브 사이트를 통해 유포 중인 것을 확인하였다. RedLine은 정보 유출 악성코드로서 웹 브라우저 및 FTP 클라이언트 프로그램에 저장되어 있는 사용자 계정 정보나 스크린샷, 코인 지갑 주소 등 사용자 정보를 C&C 서버에 유출하는 기능을 갖는다. RedLine 악성코드가 최초로 확인된 것은 2020년 3월경으로 코로나 바이러스 이슈를 이용한 스팸 메일을 통해 유포된 것이 첫번째 사례이다. 이후부터 꾸준히 다양한 경로를 통해 유포되고 있으며 그 비율은 2020년 하반기에 이르기까지 꾸준히 높아지고 있다. 유포 경로로는…
구글 키워드 검색 시, 피싱 페이지 통한 CoinMiner 유포 중 Posted By jongpilparkahnlab , 2020년 6월 29일 구글에서 크랙, 키젠, 시리얼 번호 등의 키워드 검색 시, 상단에 노출되는 피싱 페이지를 통해 암호화폐 채굴을 위한 마이너(Miner) 악성코드가 유포 중이다. 관련 자료는 작년 12월 경 Avira에서도 공개한 바 있으며, 피싱 페이지의 경우 한국어 페이지로도 제공되어 국내 사용자들도 상당수 감염된 것이 확인되었다. [ https://www.avira.com/en/blog/coinloader-a-sophisticated-malware-loader-campaign ] 구글 검색을 통해 감염이 이루어지는 전체적인 흐름은 아래의 그림과 같다. 감염 흐름도 피싱 페이지에서 악성코드가 포함된 압축 파일(*.ZIP)을 다운로드 받고 내부의 실행파일(*.EXE)을 실행할 경우, 위의 과정을 거쳐서 결국 “TiWorker.exe”라는 프로세스에 의해 코인 마이닝(암호화폐 채굴)이 진행된다….
