Notion 설치파일로 위장한 MSIX 악성코드 유포 Posted By KDH , 2024년 2월 29일 Notion 설치 파일로 위장한 MSIX 악성코드가 유포 중이다. 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다. 실행 시 다음과 같은 화면을 보이며 설치를 누를 경우 Notion이 설치됨과 동시에 악성코드에 감염된다. 설치 시 프로그램 경로에 StartingScriptWrapper.ps1 파일과 refresh.ps1 파일이 생성된다. StartingScriptWrapper.ps1 파일은 인자로 주어진 파워쉘 스크립트 파일을 실행하는 기능의 MS 서명을 가진 정상 파일이다. 이 파일을 통해 인스톨 과정에서 패키지 내부 config.json 설정 파일을 읽어 특정…
웹하드를 통해 유포 중인 Remcos Rat 악성코드 Posted By leeikgyu , 2024년 1월 9일 AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Remcos Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다. 일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다. [그림 1]과 같이 다수의 게임들에 공통적인 방법으로 악성코드를 유포 중이며, 게시글 아래 항목에는 Game.exe를 실행시키라는…
기업 홍보물 제작을 위장한 악성 LNK 유포 Posted By ch.lim , 2023년 11월 10일 최근 AhnLab Security Emergency response Center(ASEC) 에서는 이메일 등의 수단을 통해 금융 및 블록체인 기업 종사자를 대상으로 악성 LNK 파일이 유포되는 정황을 확인하였다. 악성 LNK 파일은 URL 을 통해 유포되며, 자사 인프라를 통해 확인된 URL은 아래와 같다. 다운로드되는 파일은 “블록체인 기업 솔루션 편람 제작.zip” 명의 압축파일로, 공격자는 해당 URL에 악성파일과 정상파일을 번갈아 올려놓으며 분석에 혼동을 주었다. 악성 파일이 다운로드 될 경우, 압축 파일 내 DOCX 파일 대신 악성 LNK 파일이 포함되어 있다. 악성 LNK 파일은 아래 이미지와 같이 보여지는데, LNK…
악성코드 패키지 다운로드하는 Phishing형 PDF Posted By ov5925 , 2023년 11월 1일 AhnLab Security Emergency response Center(ASEC)은 악성 URL이 포함된 PDF 파일의 유포를 확인하였다. PDF 파일에서 연결되는 도메인을 확인했을 때 유사한 형태의 PDF 파일이 특정 게임이나, 프로그램에 대한 크랙 파일 다운로드를 위장한 PDF 형태로 유포되는 모습을 확인할 수 있었다. 유포되고 있는 PDF 파일 중 확인된 파일에 대한 목록의 일부는 다음과 같다. 유포된 PDF 파일 내에 포함된 버튼을 클릭하면 악성 URL주소로 접속한다. 아래 그림은 PDF 파일을 열었을 때 나타나는 화면으로, 붉은 음영으로 표시된 두 버튼 중 하나를 누르면 아래의 주소로 접속한다. 접속한 링크에서는…
정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking) Posted By KDH , 2023년 10월 26일 정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종 사용되는 방식이다. 상용 소프트웨어의 크랙, 키젠 등으로 위장한 악성코드 유포 또한 DLL 하이재킹 방식의 샘플 비중을 점차 늘려가고 있다. 본격적인 유포는 지난 5월경 관측되기 시작하였으며, 다시 8월부터 최근까지 활발하게 유포…
