AGENTTESLA

V3 Lite 아이콘을 위장하여 유포되는 악성코드

ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다. 위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다. AveMaria 악성코드는 원격제어 기능의 RAT(Remote Administration Tool) 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 AveMaria 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 AgentTesla, Lokibot, Formbook…

윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 AgentTesla 악성코드가 새로운 방식으로 유포 중인 정황을 포착하였다. ASEC 블로그에도 여러 번 소개해왔던 AgentTesla 의 기존 유포 방식은 파워포인트(*.ppt) 문서 내 악성 VBA 매크로를 이용하였다면, 새로운 유포 방식은 윈도우 도움말 파일(*.chm) 을 이용하여 powershell 명령어를 실행하는 것으로 확인하였다. 악성 CHM 파일은 운송 회사인 DHL 을 사칭한 피싱 메일에 첨부되어 압축 파일 형태로 유포되고 있다. DHL 외에도 다양한 주제로 피싱 메일을 유포하고 있어 사용자의 주의가 필요하다. 피싱 메일에 첨부된 압축 파일을 압축 해제하면 악성 CHM 파일이 존재하며, 해당…

더욱 정교해진 악성 PPT 를 통해 AgentTesla 유포 중

ASEC 분석팀은 작년부터 꾸준하게 유포되고 있는 악성 PPT 파일에 대해 소개해왔다. 최근에는 악성 PPT 파일에서 실행되는 스크립트에 다양한 악성 기능이 추가 된 것을 확인하였다. 악성 PPT 파일이 실행되는 방식은 기존에 소개해왔던 방식과 동일하며, 악성 스크립트에 의해 추가 악성코드 실행, Anti-AV, UAC bypass 등의 기능을 수행한다. PPT 파일 실행시, 아래와 같이 기존과 동일하게 매크로 포함 여부를 선택하는 알림창이 생성된다. 이때 매크로 포함 버튼을 선택하게 되면 악성 매크로가 자동으로 실행되게 된다. 악성 매크로가 실행되면 파워 포인트 에러를 위장한 오류창을 생성하여 사용자가 악성…

지속적으로 유포되는 파워포인트 유형의 악성 첨부파일

지난 4월, 아래의 포스팅을 통해 PPT파일을 매개체로 하여 유포되는 악성코드에 대해 소개한 바 있다. ASEC 분석팀은 파워포인트 유형의 PPAM 파일을 이용한 악성 행위가 최근까지도 지속되는 것을 확인하여 이를 알리려 한다. 4월에 소개한 내용은 파워포인트에 포함된 매크로가 실행되면 mshta.exe를 이용하여 악성 스크립트가 삽입된 blogspot 웹페이지의 소스가 공격에 바로 사용되었으나, 이번에는 powershell.exe/wscript.exe를 이용한 프로세스가 추가되어 보다 더 복잡해진 것이 특징이라고 할 수 있다. VBA 코드를 포함하는 PPAM 파일의 매크로가 실행되면 mshta.exe를 통해 외부의 스크립트를 호출하며 해당 웹페이지는 악성 스크립트가 삽입되어있는 blogger 웹사이트(Final…

피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!

ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다. 이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성…