대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서
ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해
파일공유 사이트(WeTransfer) 를 위장한 피싱메일 유포
최근 파일공유 사이트 WeTransfer를 위장하여 사용자의 개인정보를 유출하는 피싱메일이 유포되고 있다. 2월 2일 ASEC 분석팀이 수집한 이메일에 의하면, 공격자는 본문에 악성 링크가 포함된 메일을 수신자 맞춤형으로 개별 발송하였다. 본문 내용은 WeTransfer를 통해 새로운 파일이 도착했다는 내용이다. 링크를 클릭할 시 공격자가 미리 준비해둔 피싱 웹페이지로 접속하게 된다. 악성 이메일은 한글 또는
기업 대상 제목의 이메일 주의
‘견적의뢰 건’ 제목의 악성 이메일이 기업을 상대로 다수 유포되고 있다. 작년 하반기부터 현재까지 이어지고 있는 이 악성 스팸메일 공격은 사용자 계정을 탈취할 목적으로 불특정 다수 기업에게 유포되고 있다. 사용자의 회사 메일 계정을 탈취하기 위해 피싱 웹페이지 접속을 유도하거나, 정보유출형 악성코드인 Lokibot 실행파일을 유포하였다. 이메일 제목은 현재까지 ‘견적의뢰 건’ 또는 ‘견적의
스팸 메일을 통해 유포 중인 Azorult 인포스틸러
ASEC 분석팀은 최근 Azorult 인포스틸러가 스팸 메일을 통해 유포되고 있는 것을 확인하였다. Azorult는 C&C 서버에 접속하여 정보 유출 행위에 사용되는 DLL들과 명령을 받아온 후 사용자 계정 정보 및 사용자 데이터 파일들과 같은 정보를 탈취해 C&C 서버에 유출하는 인포스틸러 악성코드이다. 정보 유출 대상으로는 웹 브라우저, 이메일 클라이언트 등의 계정 정보 외에도
비트코인 노리는 협박메일, 공공기관과 기업 대상으로 글로벌 유포 중
비트코인을 노리는 협박성 스팸 메일이 공공기관과 기업을 대상으로 글로벌하게 유포 중이다. 스팸 메일은 2020년 3월부터 10월 현재까지 지속적으로 확인되었다. 동일한 내용이 한국어, 영어, 러시아어, 스페인어 등 다국어로 번역되어 관공서, 대학교, 사기업을 포함해 각국에 유포되고 있다. 스팸 메일은 본문 내용만 있고 별도의 첨부파일이나 악성코드는 포함되어있지 않다. 다만 메일 내용이 공격 대상에게
국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부)
ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 – [악성코드 정보] – [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) 해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이
구매 주문서 메일로 위장하여 유포 중인 Lokibot 악성코드
Lokibot 은 인포스틸러 악성코드로서, 웹 브라우저, 메일 클라이언트, FTP 클라이언트 등 감염 PC에 설치된 다양한 프로그램들에서 계정 정보를 탈취하는 기능을 가지고 있다. 수 년 전부터 꾸준히 유포되고 있는 악성코드이지만, 아래의 주간 통계에서 확인되듯이 최근까지도 Top 5에 매주 포함되고 있는 것을 확인할 수 있다. ASEC 주간 악성코드 통계 ( 20200817 ~ 20200823 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 8월 17일 월요일부터 2020년 8월 23일 일요일까지 수집된 한 주간의 통계.. asec.ahnlab.com/1371 Lokibot은 최근 AgentTesla, Formbook, AveMaria 등의 악성코드와 유사하게 대부분 스팸
코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드
ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중 ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난
공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중
ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 유포된 스팸 메일 메일 내부에는 피싱 페이지로
국내 포털 계정정보 탈취용 피싱메일 주의!
ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 송장 관련 스팸 메일 첨부 파일 내부에 존재하는 HTML 해당 HTML 파일
