Telegram API 로 탈취 정보를 전송하는 피싱 악성코드 Posted By gygy0101 , 2024년 2월 20일 AhnLab SEcurity intelligence Center(ASEC) 은 지난해 Telegram 을 활용하여 사용자 정보를 유출하는 피싱 스크립트에 대해 소개한 바 있다.[1] 최근까지도 Telegram 을 이용한 피싱 스크립트가 다수 확인되고 있으며 송금, 영수증 등의 키워드를 활용하여 불특정 다수를 대상으로 유포되는 특징이 있다. 최근 유포 중인 피싱 스크립트는 유포 초기와 다르게 탐지를 회피하기 위해 코드 난독화를 사용하였으며, 기존과 유사하게 보호된 문서를 열람하도록 로그인을 유도하거나 Microsoft 로그인 페이지를 사칭하는 등 다양한 형태로 유포되고 있는 것을 확인할 수 있다. 난독화 해제된 코드는 다음과 같으며, 공격자는 실제로 사용되는…
온라인 스캠: 당신은 사칭과 협박, 그리고 속임수로부터 안전하십니까? Posted By Soojin Choi , 2024년 2월 19일 우리는 디지털 세상과 연결되어 살고 있다. 디지털 세상은 우리에게 많은 유익함과 즐거움을 주지만, 때로는 살면서 결코 겪고 싶지 않은 일을 마주하게 만들기도 한다. 온라인 사기(Fraud), 스캠(Scam)이 바로 그 경우이다. 온라인 스캠은 대량으로 발송되는 상업 광고성 스팸 메일처럼 개인의 일상을 잠깐 방해하는 수준이 아니다. 금전적, 정신적 피해로 개인의 삶에 큰 상처와 긴 시간 악영향을 주는 중대한 사이버 범죄이다. 기업 비즈니스가 스캠 피해를 당한다면, 내부 기밀 정보 유출이나 막대한 경제적 손실을 입게 된다. 대한민국을 포함하여 이미 많은 국가에서는 정부, 경찰, 수사 기관,…
국내 유명 포탈 로그인 페이지로 위장한 피싱 사례 분석 Posted By ch.lim , 2024년 1월 29일 AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 유명 포탈 N사의 로그인 페이지로 위장한 피싱 사례를 분석하였으며, 공격자에 대한 일부 정보를 확보하였다. 피싱 메일 등에 첨부된 하이퍼링크 형태로 유포되었을 것으로 추정되는 가짜 로그인 페이지는 실제 N사의 로그인 페이지와 매우 흡사한 것으로 확인되며, 육안으로는 피싱 사이트라는 사실을 구분하기 어렵다. 해당 페이지에 로그인 정보를 입력하면 아래와 같이 공격자가 설정한 C2서버로 정보가 전송된다. 공격자의 도메인에 대한 분석 과정에서 피싱 페이지 서버 내부에서 동작하는 코드를 확보하였으며 피싱 페이지를 통해 공격자에게 전송된 로그인 정보가 어떻게 처리되는지에 대한…
임금 수령 통지서를 위장한 큐싱 메일 유포 Posted By gygy0101 , 2024년 1월 25일 AhnLab SEcurity intelligence Center(ASEC) 은 최근 중화인민공화국 재정부를 사칭한 큐싱 메일이 유포 중인 것을 확인하였다. 큐싱이란(Qshing), QR 코드와 피싱(Phishing) 의 합성어로 QR 코드를 스캔하게 되면 악성 앱 설치 또는 피싱 사이트에 접속하게 한다. 유포 중인 메일은 [그림 1] 과 같으며, 2024년 1분기 임금 수령 통지서를 위장하고 있다. 본문에는 임금 보조금을 수령하기 위해서는 휴대폰을 이용하여 QR 코드를 스캔하도록 유도하는 문구가 포함되어 있다. 또한, 공격자는 발신자 메일 주소를 “ahnlab.com” 으로 위장하였는데 메일 헤더를 통해 실제 발신자 메일 주소를 확인할 수 있다. 일반적으로…
개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni) Posted By leeikgyu , 2023년 12월 6일 AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다. 생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다. Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며,…
