채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드 Posted By ASEC , 2021년 4월 14일 ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다….
견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! Posted By ASEC , 2021년 2월 4일 Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고 있다. Formbook 악성코드는 아래와 같은 메일을 통하여 들어오게 된다. 제목에는 주로 설계서, 견적서, 발주서와 같은 제목으로 이루어져 있으며, 첨부 파일명에 특정 회사의 이름이 포함되어 있어 실제 업무 사용자가 해당 이메일에 관심을…
더욱 정교하게 유포 중인 폼북(Formbook) 악성코드 Posted By ASEC , 2020년 7월 30일 ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. https://asec.ahnlab.com/1348 다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면…
견적, 구매 메일로 위장해 유포되는 Formbook 악성코드 Posted By ASEC , 2020년 7월 6일 Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. https://asec.ahnlab.com/1343 ASEC 분석팀에서는 Formbook 악성코드 유포에 사용되는 대표적인 악성 메일과 첨부된 악성코드에 대한 분석 정보를 소개하고자 한다. 악성 메일은 위와 같이 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을…
