스팸 메일로 유포 중인 DarkCloud 인포스틸러 Posted By Sanseo , 2023년 5월 17일 ASEC(AhnLab Security Emergency response Center)에서는 최근 스팸 메일을 통해 DarkCloud 악성코드가 유포 중인 것을 확인하였다. DarkCloud는 감염 시스템에 저장되어 있는 사용자의 계정 정보들을 탈취하는 인포스틸러 악성코드로서, 공격자는 DarkCloud 외에도 ClipBanker 악성코드를 함께 설치하였다. 1. 유포 방식 공격자는 다음과 같은 메일을 발송하여 사용자로 하여금 첨부 파일을 다운로드하고 실행하도록 유도하였다. 해당 메일은 회사 계정으로 지불된 첨부된 지불 사본을 확인하도록 유도하는 내용이며, 첨부 파일의 압축을 해제하면 PDF 아이콘을 위장하고 있기 때문에 일반적인 사용자의 경우 이러한 메일을 받았을 때 문서 파일로 생각하고 악성코드를 실행할…
블로그 자동 포스팅과 자동 신고 프로그램 Posted By ASEC , 2022년 11월 18일 스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다. 파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를 통해 작성했던 스팸 프로그램과 동일한 C# 언어로 개발 되었다. 주요 기능으로는 키워드를 이용하여 특정 블로그에 대한 글을 검색하여 블로그 내용에 특정 URL이 존재할 경우 리스트에 추가 하여 신고한다. 위 내용만 보면 해당 기능들은 정상 프로그램의 기능처럼…
국내 포털 사이트 Daum으로 위장한 피싱 메일 Posted By ASEC , 2022년 7월 22일 ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다. hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php 리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱…
스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거 Posted By ASEC , 2021년 5월 10일 HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다. 최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한 유포 방식이 대부분인 것으로 추정된다. 다음은 2월과 3월경에 국내 사용자를 대상으로 유포된 스팸 메일들이다. 이렇게 직접적으로 EML 파일이 수집되지는 않더라도, 접수된 파일명으로 확인해 봤을 때도 대부분 스팸 메일의 첨부 파일명으로…
기업 AD 환경에서 CobaltStrike 해킹툴 설치하는 Hancitor 워드문서 Posted By Sanseo , 2021년 5월 3일 Hancitor 악성코드는 스팸 메일을 통해 유포되는 다운로더 악성코드로서, 2016년 경부터 꾸준히 유포되고 있다. 최근에는 추가 페이로드로 코발트 스트라이크를 설치하는 형태가 유포되고 있어 사용자의 주의가 필요하다. Hancitor는 스팸 메일의 첨부 파일이나 다운로드 링크를 이용해 유포되며 보통 MS 오피스 문서 파일을 그 대상으로 한다. 최근 확인되는 유형은 악성 VBA 매크로가 포함된 워드 문서 파일이다. 워드 문서를 실행하면 다음과 같은 이미지를 보여주면서 사회공학 기법을 이용해 사용자가 매크로 활성화 즉 상단의 “콘텐츠 사용” 버튼을 클릭하도록 유도한다. 다음은 2016년과 2018년에 공개된 ASEC 블로그이며, 동일하게 스팸…
