유튜브를 통해 유포 중인 정보 탈취형 악성코드 Posted By Sanseo , 2022년 3월 4일 ASEC 분석팀은 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것을 확인하였다. 공격자는 발로란트 게임 핵을 위장하여 다음과 같은 동영상을 업로드하였으며, 아래의 백신을 끄고 설치하라는 설명과 함께 악성코드의 다운로드 링크를 삽입하였다. 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 과거에도 다음과 같은 ASEC 블로그에서 다룬 바 있다. 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 다음과 같은 다운로드 페이지를 확인할 수 있다. 다운로드된 “Pluto Valornt cheat.rar” 압축 파일에는 “Cheat installer.exe” 실행 파일이 포함되어 있는데 이름은 게임…
신종 정보 탈취 악성코드 “ColdStealer” 유포 중 Posted By ASEC , 2022년 2월 21일 ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…
마스토돈 SNS를 악용하는 Vidar 악성코드 Posted By ASEC , 2022년 1월 21일 ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 마스토돈(Mastodon)이라는 SNS 플랫폼을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 정보 탈취형 악성코드로서 스팸 메일이나 PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되며 최근에는 Stop 랜섬웨어와 같이 다른 악성코드를 통해 설치되는 등 과거부터 꾸준히 유포되고 있다. Vidar가 실행되면 먼저 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 탈취할 정보들에 대한 명령과 필요한 DLL들을 전달받는다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를…
국내 유명 포털사이트 위장한 정보유출 악성코드 Posted By ASEC , 2022년 1월 7일 ASEC 분석팀은 국내 포털 사이트 관련 파일로 위장한 정보유출 형 악성코드를 확인하였다. 최근 피싱 메일에서 사용된 악성 URL에서 NAVER.zip 파일을 확인하였으며, 압축 파일 내부에는 ‘네이버지키미.exe’ 파일명의 실행 파일이 포함되어있다. 악성 URL이 확인된 피싱 메일은 아래와 같이 카카오 계정과 관련한 내용을 담고 있으며, 사용자가 <보호 해제하기> 버튼 클릭 시 hxxp://mail2.daum.confirm-pw[.]link/kakao/?email=[이메일 주소]로 리다이렉트 되어 사용자의 계정정보를 탈취한다. NAVER.zip 파일은 피싱 메일 존재하는 URL의 상위 주소인 hxxp://mail2.daum.confirm-pw.link로 접속 시 hxxp://downfile.navers.com-pass[.]online/NAVER.zip 로 리다이렉트 되어 해당 압축파일이 다운로드된다. 해당 파일은 아래와 같이 파일명과 아이콘을 국내…
특정 게임 플랫폼을 악용한 Vidar 인포스틸러 Posted By ASEC , 2021년 5월 6일 ASEC 분석팀에서는 최근 Vidar 인포스틸러 악성코드가 Faceit이라는 게임 매칭 프로그램을 악용하여 C&C 서버 주소를 구하는 것을 확인하였다. Vidar는 스팸 메일이나, PUP 그리고 KMSAuto 인증 툴을 위장하여 설치되는 등 과거부터 꾸준히 유포되고 있는 악성코드이다. (본 블로그 하단의 이전 블로그 링크 참고) Vidar는 정보 탈취 행위를 수행하기 이전에 C&C 서버에 접속하여 명령을 전달받고, 추가적으로 여러 DLL들을 다운로드 받아 사용자의 정보들을 수집한다. 과거에는 일반적인 악성코드들과 같이 단순히 C&C 서버에 접속하여 명령 및 추가 파일들을 전달받았다면, 최근 확인되고 있는 Vidar는 실제 C&C 서버를 구하기…
