원노트(OneNote)로 유포 중인 Qakbot 악성코드
악성코드

원노트(OneNote)로 유포 중인 Qakbot 악성코드

안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서 – ASEC BLOG 본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고, 파일을 실제 실행했을 때의 화면을

  • 2월 08 2023
가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot
악성코드

가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot

최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크

  • 12월 13 2022
Qakbot 악성코드 국내 유포 중
악성코드

Qakbot 악성코드 국내 유포 중

ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에

  • 10월 20 2022
Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중
악성코드

Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중

최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는

  • 9월 30 2022
QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중
악성코드

QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다.   2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel

  • 2월 25 2021