fileless

피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!

ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다. 이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성…

주의! 매그니베르(Magniber) 랜섬웨어 CVE-2021-26411 취약점으로 국내 유포 중

매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기 위해 자동 대응 및 수집 시스템을 구축 운영 중이며, 해당 시스템을 통해 최신 CVE-2021-26411 취약점 스크립트로 변경한 것을 빠르게 포착할 수 있었다. 해당 취약점은 3월 9일 MS에서 보안패치 배포되었음으로 IE…

견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의!

Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고 있다. Formbook 악성코드는 아래와 같은 메일을 통하여 들어오게 된다. 제목에는 주로 설계서, 견적서, 발주서와 같은 제목으로 이루어져 있으며, 첨부 파일명에 특정 회사의 이름이 포함되어 있어 실제 업무 사용자가 해당 이메일에 관심을…

더욱 정교하게 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. https://asec.ahnlab.com/1348 다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면…

AgentTesla 악성코드 국내에 어떻게 유포되고 있나?

올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서 매주 업로드하고 있는 ‘주간 악성코드 통계’에서 확인 할 수 있듯 TOP 5안에 꾸준히 등장하는 국내에서 아주 활발히 유포 중인…