InfoStealer

Formbook 악성코드의 C2 통신 방식

대다수의 악성코드는 공격자의 명령 수신과 추가 악성 행위를 위해 C2(Command & Control server)를 활용한다. 공격자의 입장에서는 AV 제품의 감시망을 뚫고 사용자 PC에 악성코드를 감염시켜도 C2 접속이 차단되면 무용지물이다. 따라서 C2 정보 파악을 어렵게 하기 위해 가짜 C2와 통신을 하거나, 단 한 개라도 작동을 보장하기 위해 많은 수의 C2를 사용하는 등의 다양한 기법을 사용한다. Formbook 악성코드는 이렇게 C2 파악이 어려운 대표적인 악성코드이다. 본 게시글에서는 Formbook 악성코드의 C2 통신 방식과, 진짜 C2를 판별하는 방법 등을 공유하고자 한다. Formbook 악성코드는 현재까지도 대량으로 유포…

이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 아래는 최근에 확인된 저작권 위반 관련 위장 메일로, 사용자가 첨부 파일을 실행하도록 유도하는 내용이 포함되어 있다. 메일에 첨부된 압축 파일 내부에는 ‘저작권위반 내용.alz’으로 된 압축 파일이 존재하고, 그 내부에 해쉬가 동일한 실행 파일이 두개 존재한다. 각각의 파일명은 아래와 그림과 같으며, SWF 파일 아이콘으로 위장한…

견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의!

Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고 있다. Formbook 악성코드는 아래와 같은 메일을 통하여 들어오게 된다. 제목에는 주로 설계서, 견적서, 발주서와 같은 제목으로 이루어져 있으며, 첨부 파일명에 특정 회사의 이름이 포함되어 있어 실제 업무 사용자가 해당 이메일에 관심을…

정보 탈취 악성코드 유포 피싱 캠페인

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램으로 위장하여 인포스틸러 악성코드를 유포하는 피싱 사이트를 발견하였다. 피싱 사이트는 지난 6월 29일에 공유한 바(https://asec.ahnlab.com/ko/1339/)와 같이 구글 검색 키워드로 유틸리티 프로그램명과 “Crack”을 함께 검색할 시 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해서 해당 페이지에 접속하여 감염되었을 것으로 추정된다. 해당 피싱 사이트의 게시글은 [그림 2]와 같이 실제 유틸리티 프로그램 이미지와 함께 정교하게 꾸며놓았다. 사이트에 접속한 사용자가 페이지 하단의 [그림 3] 다운로드 링크를 클릭 할 경우 악성코드 유포지로 리다이렉트되며 최종적으로 악성코드를 포함한…

Vidar 인포스틸러 악성코드 정보 유출 기능 분석

Vidar는 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드이다. 아래의 주간 통계에서도 확인 되듯 Top 5 안에는 포함되지 않지만 꾸준히 일정 비율을 차지하고 있으며, 한동안 Top 5에도 포함되었던 이력을 보면 다시 그 유포량이 증가할 수 있다. https://asec.ahnlab.com/1375 최근 한 달 동안 확인된 유포 파일 개수는 아래의 표와 같다. 모두 “build.exe”라는 이름으로 유포되고 있으며, (윈도우 정품인증을 위한) KMSAuto로 위장한 설치 파일 내부에 존재하는 공통점이 있다. 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 날짜 유포 파일 수 8월…