.NET 외형의 FormBook 악성코드 유포 중 Posted By ASEC , 2022년 10월 19일 안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적 행위 패턴이 확인되지 않은 악성코드를 선제적으로 격리하여 사용자를 보호할 수 있는 장점이 있다. 아래 소개하는 FormBook(폼북) 악성코드는 사용자가 웹 브라우저 이용 도중 시스템에 다운로드 되어 실행된 악성코드이다. 이후 V3 제품의…
PDF 내 첨부된 파일을 안전한 파일로 속이기 위한 수법 Posted By ASEC , 2022년 5월 19일 ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다. Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다. 이메일에 첨부된…
견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트) Posted By ASEC , 2022년 2월 22일 ASEC 분석팀은 지난해 특정 업체의 이름이 포함된 파일명으로 유포된 Formbook 악성코드가 최근 VBS 파일을 통해 유포되고 있음을 확인하였다. 유포가 확인된 메일에는 여전히 견적서 요청 관련 내용을 담고 있으며, 첨부파일명에 특정 회사의 이름이 포함되어 있어 사용자가 첨부파일을 실행하도록 유도한다. 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! (21.02.04) 메일에 첨부된 압축파일에는 실행 파일이 아닌 VBS 파일이 존재한다. 해당 악성 파일은 동일한 업체 명에 유포 날짜만 다르게 한 파일명으로 유포되고 있는 것으로 확인된다. 현재 유포가 확인된 파일명은 아래와 같다. 한*산업개발(2022.02.03).pdf.vbs 한*산업개발(2022.02.04).pdf.vbs 한*산업개발(2022.02.07).pdf.vbs 한*산업개발(2022-02-10).pdf.vbs 한*산업개발(2022.02.16).pdf.vbs 한*산업개발(2022.02.17).vbs…
보다 정교해진 피싱메일을 통해 유포되는 FormBook 악성코드 Posted By ASEC , 2021년 12월 10일 ASEC 분석팀에서는 국내 공공기관 내부 불특정 다수를 상대로 피싱메일을 통해 FormBook 악성코드를 유포하는 정황을 확인하였다. 송신자는 해당 기관의 내부 메일을 사용하였으며, 메일의 첨부파일로는 회사소개 브로슈어를 이용하였다. 첨부파일이 정상이므로 의심 없이 메일을 열람할 가능성이 높으나, 메일 본문에 기재된 URL링크에서 인포스틸러 유형의 FormBook 악성코드가 내려받아진다. FormBook 악성코드는 ASEC 블로그를 통해 매주 제공하는 주간 악성코드 통계에서도 매번 순위권에 존재하는 만큼 유포가 매우 활발한 것을 알 수 있으며, FormBook 악성코드에 대한 상세 정보는 아래에 링크한 게시글을 통해 확인 가능하다. 또한, ASEC블로그에서 자주 소개한 바와…
채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드 Posted By ASEC , 2021년 4월 14일 ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다….
