phishing

국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포

ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다. 국세청 ‘전자세금계산서’ 사칭 악성코드 유포 – https://asec.ahnlab.com/ko/1368/ [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) – https://asec.ahnlab.com/ko/1234/ 이 첨부된 PPT…

정보 탈취 악성코드 유포 피싱 캠페인

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램으로 위장하여 인포스틸러 악성코드를 유포하는 피싱 사이트를 발견하였다. 피싱 사이트는 지난 6월 29일에 공유한 바(https://asec.ahnlab.com/ko/1339/)와 같이 구글 검색 키워드로 유틸리티 프로그램명과 “Crack”을 함께 검색할 시 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해서 해당 페이지에 접속하여 감염되었을 것으로 추정된다. 해당 피싱 사이트의 게시글은 [그림 2]와 같이 실제 유틸리티 프로그램 이미지와 함께 정교하게 꾸며놓았다. 사이트에 접속한 사용자가 페이지 하단의 [그림 3] 다운로드 링크를 클릭 할 경우 악성코드 유포지로 리다이렉트되며 최종적으로 악성코드를 포함한…

급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드

ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. https://asec.ahnlab.com/1358 피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 이용한 것으로 추정된다. 메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있다. 악성 매크로는 이전 공유한 Emotet 다운로더와…