정상 프로그램을 기반으로 제작되어 유포 중인 LummaC2 정보탈취 악성코드
LummaC2는 크랙 등의 불법 소프트웨어로 위장하여 활발하게 유포 중인 정보탈취형 악성코드로, 유포 방식, 제작 방식이 지속적으로 변형되고 있다. 최근에는 정상 프로그램에 악성 코드를 삽입한 형태로 유포되고 있어 주의가 필요하다. 그림 1. 악성코드 유포 페이지 예시 LummaC2 악성코드가 실행될 경우 브라우저 저장 계정 정보, 메일 정보, 암호화폐 지갑 정보,
다운로드 시도 마다 새로 태어나는 InnoSetup 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 크랙 및 상용 툴로 위장하여 유포 중인 악성코드 중 새로운 유형의 악성코드를 확인하였다. 해당 유형은 실행 즉시 악성 행위를 했던 기존 악성코드와는 다르게 인스톨러 UI가 출력되며, 버튼을 눌러 설치 과정을 진행할 경우 악성 행위를 시작한다. 또한 일반적으로 미리 생성한 악성코드를 유포하는 방식이 아닌, 사용자가 다운로드 요청을
설치파일 위장 정보탈취 악성코드 주의
설치파일(Installer)로 위장한 StealC 악성코드가 대량 유포 중이다. Discord, GitHub, Dropbox 등에서 다운로드 되는 것으로 확인되며, 그간 비슷한 방식의 유포 사례로 보아 특정 프로그램 다운로드 페이지로 위장한 악성 페이지에서 여러 리디렉션을 거쳐 다운로드 URL로 연결될 것으로 추정된다. StealC 악성코드는 정보탈취형 악성코드로, 시스템 정보, 브라우저, 가상화폐 지갑, 디스코드, 텔레그램, 메일 클라이언트 등
정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking)
정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종
악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개
한동안 유포가 중단되었던 크랙 위장 드로퍼 악성코드가 다시 활발하게 유포되고 있다. 해당 악성코드를 실행할 경우 동시에 수많은 악성코드에 감염된다. 악성코드 “폭탄”인 셈이다. 상용 프로그램의 크랙으로 위장한 악성코드 유포는 “단일 악성코드” 유형과 “드로퍼형 악성코드” 유형으로 양분되어 활발하게 유포되었다. ASEC 분석팀에서는 이러한 악성코드 유포를 상세히 모니터링 중이며 블로그 포스팅을 통해 여러 번
SmokeLoader를 통해 유포 중인 Amadey Bot
Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에
