스팸 메일로 유포 중인 DarkCloud 인포스틸러
ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다. 1. 유포 방식 공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다. 해당 메일은
블로그 자동 포스팅과 자동 신고 프로그램
스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다. 원하지 않는 정보 그만 받고 싶어요! 파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를
국내 포털 사이트 Daum으로 위장한 피싱 메일
ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로
스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거
HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한
채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드
ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행
스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)
최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다. 최근 ASEC 통계 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일
공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중
ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 유포된 스팸 메일 메일 내부에는 피싱 페이지로
