ASEC

기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다. 피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수 있도록 해라”라는 문구가 적혀있다. “KEEP YOUR PASSWORD” 문구를 클릭하면 아래 그림과 같이 Microsoft 로그인 화면과 동일한 화면이 뜨며, 실제 Microsoft 로그인 하는 과정과 비슷하게 메일 주소는 이미 입력된 상태로 되어있어…

매크로 시트를 이용한 악성 엑셀 국내 유포 중

ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, 지난 10월 Qakbot 유포에도 사용되었다. 피싱 메일은 아래와 같으며, 한국어가 사용된 점으로 보아 국내 사용자를 대상으로 유포된 것으로 추정된다. 또한 해당 메일은 실제 발송된 정상 메일을 활용한 것을 확인할 수 있다. 사용자는 해당 부분으로 인해 정상 메일로 인지할 수 있어, 큰 주의가 필요하다. 메일에는 압축 파일(ZIP)이 첨부되어 있으며, 압축 파일 내부에 악성…

메일 사서함 업데이트 위장한 피싱메일 주의!!

ASEC 분석팀은 메일 사서함 업데이트로 위장한 악성 메일이 국내에 유포 중인 것을 확인하였다. 사용자 이메일 계정을 포함한 사서함 업데이트 제목으로 유포 중이며, 첨부된 링크를 클릭하도록 유도하고 있다. 유포 중인 악성 메일은 아래와 같으며, 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 본문 내용은 이메일 사서함 할당량 공간 부족으로 업데이트를 유도하는 내용이 포함되어 있다. 사용자가 할당량 업데이트 버튼을 누를 경우, 아래와 같이 이메일 계정을 확인시켜주며 패스워드 입력을 요구하는 피싱 사이트로 연결 된다. 사용자가 입력 폼에 패스워드 정보를 기입하고, ‘지금…

‘배송 실패’ DHL 사칭 악성메일 유포 중

ASEC 분석팀은 운송 회사 DHL 을 사칭한 악성 메일이 국내에 유포 중인 것을 확인하였다. 해당 메일은 배송 실패와 관련된 제목으로 유포 중이며 첨부된 링크를 클릭하도록 유도하고 있다.   유포 중인 악성 메일은 아래와 같으며, 메일의 발신자가 DHL Korea 인 것과 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 또한, DHL 이미지와 “배송 실패”, “배송 조회” 등의 문구를 사용하여 사용자가 큰 의심 없이 첨부된 링크를 누를 수 있어 주의가 필요하다. 첨부된 링크는 Dropbox 링크로 연결되며 악성…

악성 매크로를 통해 국내 유포 중인 Qbot 악성코드

ASEC 분석팀은 지난 8월부터 Qbot(Qakbot) 을 다운로드하는 문서 파일이 국내에 지속적으로 유포중인 것을 확인하였다. 해당 문서는 악성 매크로를 포함하고 있으며, 매크로 실행시 추가 악성 파일을 다운로드하게 된다. 다운로드되는 Qbot 악성코드는 지난 6월부터 아래의 해외 사이트를 통해 유포 정황이 소개되었다.   (6월 15일) https://www.bleepingcomputer.com/news/security/us-bank-customers-targeted-in-ongoing-qbot-campaign/ (8월 20일) https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques (8월 31일) https://securityaffairs.co/wordpress/107731/malware/qbot-new-infection-chain.html 악성 매크로가 포함된 문서를 실행하게 되면, 아래와 같은 문구를 통해 사용자의 호기심을 유발한다. 문구에는 보호된 콘텐츠를 보기 위해 아래 동작을 수행하라는 내용을 포함하고 있으며, 매크로 사용 버튼을 클릭하도록 유도하고 있다. 또한…