V3 Lite 아이콘을 위장하여 유포되는 악성코드 Posted By ASEC , 2022년 7월 12일 ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다. 위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다. AveMaria 악성코드는 원격제어 기능의 RAT(Remote Administration Tool) 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 AveMaria 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 AgentTesla, Lokibot, Formbook…
윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드 Posted By Sanseo , 2022년 3월 16일 ASEC 분석팀에서는 최근 BitRAT 악성코드가 웹하드를 통해 유포 중인 것을 확인하였다. 공격자는 윈도우 10 인증 툴을 위장하여 악성코드를 제작하였기 때문에 사용자가 윈도우 정품 인증을 위해 웹하드에서 불법 인증 크랙 툴을 다운로드받아 설치할 경우 BitRAT 악성코드가 설치될 수 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][초간단]윈도우 정품 인증[원클릭]” 이라는 제목이다. 다운로드된 파일은 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 다음과 같이 ”W10DigitalActivation.exe”라고 하는 윈도우 10 정품 인증 툴이 포함되어 있다. ”W10DigitalActivation.exe”는 7z SFX 파일로써 내부에…
스팸 메일로 유포 중인 AveMaria 악성코드 Posted By ASEC , 2020년 8월 10일 AveMaria 는 원격제어 기능의 RAT (Remote Administration Tool) 악성코드로서 C&C 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 아래의 주간 통계에서도 확인 되듯이 Top 5 안에는 포함되지 않지만, 꾸준히 일정 비율을 차지하고 있다. AveMaria 악성코드는 최근 AgentTesla, Lokibot, Formbook 악성코드와 유사하게 대부분 스팸 메일을 통해 유포되고 있다. 또한 진단을 우회하기 위해 위의 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 패킹되어 유포 중이다. 다음은 유포에 사용된 스팸 메일로서 아래와 같이 전형적인 견적 관련 스팸 메일이다. 첨부 파일을 확인해 보면 7z 및 zip…
