Formbook

메일을 통해 유포 중인 새로운 버전의 Formbook 악성코드

Formbook은 Infostealer 유형의 악성코드로, 주로 메일의 첨부파일을 통해 유포되며 유포량이 매우 많다. ASEC 블로그에도 관련 게시글을 여러 차례 게시하였다. Formbook 악성코드의 C2 통신 방식 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! ASEC 분석팀은 최근 Formbook 악성코드가 이메일을 통해 새로운 버전으로 유포 중인 것을 확인했다. 기존 Formbook 악성코드는 내부에 버전을 의미하는 숫자가 “4.1” 이었지만 최근 유포 중인 Formbook 악성코드는 “2.3”을 사용한다. 본 게시글에서는 Frombook 악성코드를 유포 중인 실제 이메일 내용과 변화된 버전의 차이점을 공유하고자 한다. 공격자는 국내 대형 건설사를 사칭하여 악성 메일을 전송하였으며…

Formbook 악성코드의 C2 통신 방식

대다수의 악성코드는 공격자의 명령 수신과 추가 악성 행위를 위해 C2(Command & Control server)를 활용한다. 공격자의 입장에서는 AV 제품의 감시망을 뚫고 사용자 PC에 악성코드를 감염시켜도 C2 접속이 차단되면 무용지물이다. 따라서 C2 정보 파악을 어렵게 하기 위해 가짜 C2와 통신을 하거나, 단 한 개라도 작동을 보장하기 위해 많은 수의 C2를 사용하는 등의 다양한 기법을 사용한다. Formbook 악성코드는 이렇게 C2 파악이 어려운 대표적인 악성코드이다. 본 게시글에서는 Formbook 악성코드의 C2 통신 방식과, 진짜 C2를 판별하는 방법 등을 공유하고자 한다. Formbook 악성코드는 현재까지도 대량으로 유포…

견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의!

Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고 있다. Formbook 악성코드는 아래와 같은 메일을 통하여 들어오게 된다. 제목에는 주로 설계서, 견적서, 발주서와 같은 제목으로 이루어져 있으며, 첨부 파일명에 특정 회사의 이름이 포함되어 있어 실제 업무 사용자가 해당 이메일에 관심을…

더욱 정교하게 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. https://asec.ahnlab.com/1348 다만 이전의 유포 이메일 상 내용과 키워드가 견적, 구매, 주문 등으로 그간 알려진 범위를 크게 벗어나지 않았으며, 특정 내용들로 국한되어 피싱 메일에 대한 경각심을 가진 사용자라면…

견적, 구매 메일로 위장해 유포되는 Formbook 악성코드

Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. https://asec.ahnlab.com/1343 ASEC 분석팀에서는 Formbook 악성코드 유포에 사용되는 대표적인 악성 메일과 첨부된 악성코드에 대한 분석 정보를 소개하고자 한다. 악성 메일은 위와 같이 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을…