Electron으로 제작되어 유포되는 인포스틸러 Posted By ryushsh , 2024년 4월 18일 AhnLab SEcurity intelligence Center(ASEC)은 Electron으로 제작된 인포스틸러 유형을 발견했다. Electron은 JavaScript, HTML 및 CSS를 사용하여 앱을 개발할 수 있는 프레임워크이다. Discord, Microsoft VSCode가 Electron으로 만들어진 대표적인 애플리케이션이다. Electron으로 개발된 앱은 패키징되어 주로 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 배포되는데, 공격자는 이를 악성코드에 적용한 것이다. [1] 사례 #1 악성코드를 실행하면 아래와 같은 폴더 구조의 Electron 애플리케이션이 설치 및 실행된다. Electron은 node.js로 OS와 상호작용하기 때문에 실제 악성 행위가 정의된 곳은 node.js 스크립트이며, 해당 스크립트는 .asar 파일에 패키징되어 있다.(주로 app\resources 경로에…
유튜브 계정들을 해킹해 인포스틸러를 유포하는 공격자들 (Vidar, LummaC2) Posted By Sanseo , 2024년 4월 1일 AhnLab SEcurity intelligence Center(ASEC)은 최근 공격자들이 악성코드 유포를 목적으로 유튜브를 활용하고 있는 사례가 증가하고 있는 것을 확인하였다. 공격자들은 단순하게 유튜브 계정을 만들고 악성코드를 유포하는 것이 아닌 이미 존재하는 유명 유튜브 계정들을 탈취해 악성코드를 유포하고 있다. 확인된 사례들 중에는 구독자가 80만 명이 넘는 경우도 존재한다. 유튜브를 악용하는 공격자들은 주로 인포스틸러를 유포하고 있다. 과거 2020년 유튜브를 악용해 RedLine 인포스틸러를 유포한 사례부터 시작해 이번에 확인된 사례도 Vidar와 LummaC2 등 모두 인포스틸러 악성코드들이다. 1. 유튜브를 이용한 악성코드 유포 사례 악성코드를 유포하는 방식들은 다양하지만 가장…
설치파일 위장 정보탈취 악성코드 주의 Posted By KDH , 2024년 3월 14일 설치파일(Installer)로 위장한 StealC 악성코드가 대량 유포 중이다. Discord, GitHub, Dropbox 등에서 다운로드 되는 것으로 확인되며, 그간 비슷한 방식의 유포 사례로 보아 특정 프로그램 다운로드 페이지로 위장한 악성 페이지에서 여러 리디렉션을 거쳐 다운로드 URL로 연결될 것으로 추정된다. StealC 악성코드는 정보탈취형 악성코드로, 시스템 정보, 브라우저, 가상화폐 지갑, 디스코드, 텔레그램, 메일 클라이언트 등 다양한 중요 정보를 탈취한다. 사용된 악성코드나 동작 기법 등은 기존 크랙으로 위장하여 유포되는 악성코드와 유사하나 유포지는 다른 것으로 확인된다. 크랙 위장 악성코드 유포 과정은 본 블로그를 통해 여러 차례 소개하였으며…
AhnLab EDR을 활용한 웹 브라우저 계정 정보 탈취 악성코드 탐지 Posted By Sanseo , 2024년 3월 14일 웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다 로그인하는 것은 불편함이 있다 보니 대부분의 웹 브라우저는 자동 로그인 기능을 지원한다. 즉 한 번 로그인하면 이후 계정 정보가 각 애플리케이션의 설정 데이터에 저장되어 지속적인 로그인 과정 없이 이를 사용할…
Notion 설치파일로 위장한 MSIX 악성코드 유포 Posted By KDH , 2024년 2월 29일 Notion 설치 파일로 위장한 MSIX 악성코드가 유포 중이다. 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다. 실행 시 다음과 같은 화면을 보이며 설치를 누를 경우 Notion이 설치됨과 동시에 악성코드에 감염된다. 설치 시 프로그램 경로에 StartingScriptWrapper.ps1 파일과 refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 파일은 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일이다. 이 파일을 통해 인스톨 과정에서 패키지 내부 config.json 설정 파일을 읽어 특정…
