불법 게임 프로그램으로 위장하여 유포 중인 ChromeLoader Posted By gygy0101 , 2023년 2월 15일 작년부터 악성코드 유포에 ISO 나 VHD 와 같은 디스크 이미지 파일을 이용하는 사례가 꾸준하게 증가하고 있으며, ASEC 블로그를 통해 여러 차례 소개해왔다. 이번에는 VHD 파일을 이용한 ChromeLoader 의 유포 정황을 포착하여 소개하고자 한다. 해당 유형의 VHD 파일은 주로 닌텐도와 스팀 게임의 핵 및 크랙과 관련된 파일명으로 유포되고 있다. 유포 파일명 중 일부는 아래와 같으며, 유료 소프트웨어 크랙 관련 파일명도 존재한다. 관련 파일명으로 Google 검색 결과, 게임 핵 및 크랙 프로그램 등 불법 프로그램을 유포하는 사이트가 최상위에 다수 노출되는 것을 확인…
가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot Posted By ASEC , 2022년 12월 13일 최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크 이미지 파일은 내부 파일 추출 또는 마운트 시, 내부 파일에 MOTW 가 상속되지 않아 MOTW 기능을 우회할 수 있다. 관련 페이지 : https://attack.mitre.org/techniques/T1553/005/ Qakbot 을 유포 중인 피싱 메일은 아래와 같다….
