피싱

이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다. 아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다. 추가로 확인되고 있는 피싱 메일…

메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나,…

PDF 내 첨부된 파일을 안전한 파일로 속이기 위한 수법

ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다. Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다. 이메일에 첨부된…

Microsoft 위장 피싱 공격 증가

최근 ASEC 분석팀은 Microsoft 로그인 페이지를 위장한 피싱메일 유입 정황을 포착하였다. 수집된 피싱메일 샘플은 아래의 그림과 같이 해당 기업의 보이스 메시지를 위장하여, playback 파일열람 첨부파일의 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일을 클릭할 경우 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 또 다른 샘플은 스캐너를 통해 전송된 파일로 위장하여, 첨부파일 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일 클릭 시, 마찬가지로 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 두 샘플 모두 첨부파일 클릭 시, 각각 [그림 3], [그림 4]와 같이 Microsoft…

국내 유명 포털 서비스로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 포털 서비스를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 해당 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다. 메일 제목 및 본문은 아래와 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다. 본문 메일에 연결된 링크로 접속하면, 아래와 같은 국내 유명 포털 서비스를 사칭한 피싱사이트로 연결된다. 피싱 사이트 URL : hxxp://www.eylulrentacar[.]com/indexh.html 정상적인 포털 서비스 로그인 사이트와 달리 피싱 사이트는 일회용 번호, QR코드, 비밀번호 찾기,…