Spam

국내 포털 사이트 Daum으로 위장한 피싱 메일

ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다. hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php 리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱…

스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거

HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한 유포 방식이 대부분인 것으로 추정된다. 다음은 2월과 3월경에 국내 사용자를 대상으로 유포된 스팸 메일들이다. 이렇게 직접적으로 EML 파일이 수집되지는 않더라도, 접수된 파일명으로 확인해 봤을 때도 대부분 스팸 메일의 첨부 파일명으로…

기업 AD 환경에서 CobaltStrike 해킹툴 설치하는 Hancitor 워드문서

Hancitor 악성코드는 스팸 메일을 통해 유포되는 다운로더 악성코드로서, 2016년 경부터 꾸준히 유포되고 있다. 최근에는 추가 페이로드로 코발트 스트라이크를 설치하는 형태가 유포되고 있어 사용자의 주의가 필요하다. Hancitor는 스팸 메일의 첨부 파일이나 다운로드 링크를 이용해 유포되며 보통 MS 오피스 문서 파일을 그 대상으로 한다. 최근 확인되는 유형은 악성 VBA 매크로가 포함된 워드 문서 파일이다. 워드 문서를 실행하면 다음과 같은 이미지를 보여주면서 사회공학 기법을 이용해 사용자가 매크로 활성화 즉 상단의 “콘텐츠 사용” 버튼을 클릭하도록 유도한다. 다음은 2016년과 2018년에 공개된 ASEC 블로그이며, 동일하게 스팸…

채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드

ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행 파일을 확인할 수 있다. 이 실행 파일은 NSIS로 만들어진 인스톨러 프로그램이다. 인스톨러에 포함된 파일들을 확인해 보면 전형적인 다른 정상 인스톨러 파일과 유사하게 여러 정상 프로그램들이 존재하는 것을 확인할 수 있다….

스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)

최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다. 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다. 악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러 및 RAT 악성코드들이 있다. 다음은 유포에 사용된 스팸 메일 사례이며,…