Qakbot

QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel 유포 현황 및 유포 파일명 압축 파일이 첨부되어 발송되는 스팸 메일에서 첨부 파일을 다운로드 받게 되면, 해당 압축 파일에는 Excel 파일이 포함되어 있는 것을 확인할 수 있다. 문서를 실행하면 아래와 같은…

급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…

악성 매크로를 통해 국내 유포 중인 Qbot 악성코드

ASEC 분석팀은 지난 8월부터 Qbot(Qakbot) 을 다운로드하는 문서 파일이 국내에 지속적으로 유포중인 것을 확인하였다. 해당 문서는 악성 매크로를 포함하고 있으며, 매크로 실행시 추가 악성 파일을 다운로드하게 된다. 다운로드되는 Qbot 악성코드는 지난 6월부터 아래의 해외 사이트를 통해 유포 정황이 소개되었다.   (6월 15일) https://www.bleepingcomputer.com/news/security/us-bank-customers-targeted-in-ongoing-qbot-campaign/ (8월 20일) https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques (8월 31일) https://securityaffairs.co/wordpress/107731/malware/qbot-new-infection-chain.html 악성 매크로가 포함된 문서를 실행하게 되면, 아래와 같은 문구를 통해 사용자의 호기심을 유발한다. 문구에는 보호된 콘텐츠를 보기 위해 아래 동작을 수행하라는 내용을 포함하고 있으며, 매크로 사용 버튼을 클릭하도록 유도하고 있다. 또한…