malware

GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴

ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이다. 프로그램의 구성파일이 정상적으로 보이지만 이 중 솔루션파일(*.sln)은 RAT 툴이다. 이와 같은 방법으로 악성코드 유포자는 RAT 툴을 솔루션파일(*.sln)로 위장하여 실행을 유도한다. 일반적으로 프로그래머는 솔루션파일이 포함된 코드를 받고 프로젝트를 열기위해 솔루션파일을 오픈한다. 이러한 심리를 이용한 사회공학기법에 대한 주의가 필요하다. 위 파일들을 받게되면 아래 [그림2] 처럼 파일들이 존재한다. [그림2]의 환경은 “알려진…

신종 정보탈취 악성코드, 크랙 위장 유포 중

ASEC 분석팀은 S/W 크랙 및 인스톨러로 위장하여 유포되는 다양한 악성코드를 소개한 바 있다. CryptBot, RedLine, Vidar 악성코드가 대표적이다. 최근 단일 악성코드 형태의 RedLine 악성코드가 자취를 감추고(드로퍼 유형으로는 유포 중) 신종 정보 탈취 악성코드가 활발히 유포 중이다. 5월 20일 경부터 본격적으로 유포되기 시작하였으며, 해외에서는 해당 악성코드를 “Recordbreaker Stealer”로 분류하고 있으며, Raccoon Stealer의 새로운 버전이라는 분석도 존재한다. 검색엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색하여 유포 페이지로 접속한 후 압축 파일을 다운로드, 해제할 경우 악성코드가 생성된다. 해당 악성코드는 주로 대용량의 패딩 영역을…

PDF 내 첨부된 파일을 안전한 파일로 속이기 위한 수법

ASEC 분석팀은 PDF의 첨부파일(Attachment)기능을 이용하여 인포스틸러 유형의 악성코드가 유포되는 것을 확인하였다. 이전에도 확인된 공격방법이었지만, 최근 이러한 유형의 악성코드가 다시 활발하게 유포되는 정황이 확인되어 사용자들에게 알리려 한다. 사용자를 속이기 위해 공격자가 첨부파일의 이름을 활용하여 간단한 트릭을 사용한 점이 주목할만하다. Acrobat Reader에서는 PDF파일 자체에 첨부파일을 추가할 수 있는 기능이 존재하는데, 디폴트 블랙리스트로 지정된 .bin/.exe/.bat/.chm 등의 확장자를 갖는 파일은 위험요소로 인식하여 첨부할 수 없다. 디폴트 블랙리스트/화이트리스트에 존재하지 않는 그 외의 파일들에 대해 사용자의 판단을 확인하는 메세지박스가 발생하는데, 공격자는 이러한 점을 악용하였다. 이메일에 첨부된…

악성코드 제작 툴을 위장하여 유포 중인 ClipBanker 악성코드

ASEC 분석팀은 최근 ClipBanker 악성코드가 악성코드 제작 툴로 위장하여 유포되고 있는 것을 확인하였다. ClipBanker 악성코드는 감염 시스템의 클립보드를 모니터링하면서 코인 지갑 주소 문자열이 복사된 경우 공격자가 지정한 지갑 주소로 변경시키는 기능을 갖는 악성코드이다. 이러한 유형의 악성코드는 과거부터 꾸준히 유포되고 있으며, 다음 블로그에서도 소개된 바 있다. [ASEC 블로그] 코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) ClipBanker 악성코드가 유포되고 있는 사이트는 다음과 같이 “Russia black hat”이라고 하는 곳으로서 악성코드 제작 툴을 포함한 다양한 해킹 관련 프로그램들이 업로드되어 있는 곳이다. 즉 해당…

세금계산서로 가장하여 유포되는 Remcos RAT 악성코드

ASEC 분석팀은 세금계산서로 가장한 Remcos RAT 악성코드가 유포되는 정황을 확인하였다. 피싱메일의 내용과 유형은 기존에 본 블로그를 통해 지속적으로 공유했던 형태와 크게 다르지 않다. 메일 본문에는 어색한 문법으로 쓰여진 짧은 메세지가 포함되어있다. 다만 관련업무를 하고있을경우 메일 내용에는 크게 개의치않고 무심코 첨부파일을 실행할 가능성이 있으므로 주의가 필요하다. 첨부파일인 ‘Tax.gz’ 파일을 압축해제하면 ‘Tax.com’ 이라는 실행파일이 존재하며, 디버깅하여 파일 내부를 확인해보면 아래와 같은 코드를 확인할 수 있다. 만약 실행환경이 64비트 환경이라면 ‘hxxp://zhost.polycomusa[.]com/Chrimaz.exe’ 에서 해당 환경에 적합한 악성파일(1df2bf9313decafd0249d6a4556010bc)을 내려받아 실행하며, 그렇지 않을 경우 ‘3xp1r3Exp.ps1’ 이라는…