InfoStealer

신종 정보 탈취 악성코드 “ColdStealer” 유포 중

ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…

마스토돈 SNS를 악용하는 Vidar 악성코드

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 탈취할 정보들에 대한 명령과 필요한 DLL들을 전달받는다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를…

국내 유명 포털사이트 위장한 정보유출 악성코드

ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다. NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다. 해당 파일은 아래와 같이 파일명과 아이콘을 국내…

특정 게임 플랫폼을 악용한 Vidar 인포스틸러

ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을 전달받고, 추가적으로 여러 DLL들을 다운로드 받아 사용자의 정보들을 수집한다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를 구하기…

메일을 통해 유포 중인 새로운 버전의 Formbook 악성코드

Formbook은 Infostealer 유형의 악성코드로, 주로 메일의 첨부파일을 통해 유포되며 유포량이 매우 많다. ASEC 블로그에도 관련 게시글을 여러 차례 게시하였다. Formbook 악성코드의 C2 통신 방식 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! ASEC 분석팀은 최근 Formbook 악성코드가 이메일을 통해 새로운 버전으로 유포 중인 것을 확인했다. 기존 Formbook 악성코드는 내부에 버전을 의미하는 숫자가 “4.1” 이었지만 최근 유포 중인 Formbook 악성코드는 “2.3”을 사용한다. 본 게시글에서는 Formbook 악성코드를 유포 중인 실제 이메일 내용과 변화된 버전의 차이점을 공유하고자 한다. 공격자는 국내 대형 건설사를 사칭하여 악성 메일을 전송하였으며…