본문 바로가기

ahnlab20

5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중 ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여 사용자의 주의가 필요하다. 유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있다. 메일의 유형은 세 가지가 존재하는데, 다운로드 링크가 첨부된 형태와 PDF 파일이 첨부된 형태, 악성 문서 파일을 첨부한 형태로 나뉜다. 첨부된 링크는 접속시 악성 문서 파일을 다운로드하게 된다. 메일에는 DOC 파일 뿐만 아니라, PDF 형태의 파일도 첨부되어 유포되고 있다. PDF 파일에는 아래와 같이 지불과 관련된 내용을 포함하고 있으며 DocuSign 사이트로 위장한 링크가 첨부되어 있다. 하지만 해당 .. 2020. 7. 21.
V3 Lite 업그레이드 사칭 악성코드 "V3 Lite를 최신 버전으로 업그레이드 하세요!" 최근 아래와 같이 'AhnLab'을 사칭한 메일이 전송되었다. [그림 1] AhnLab을 사칭한 이메일 V3 Lite 업그레이드 권고를 알리는 메일 내용과 더불어 관련 파일이 첨부됐으며, 해당 파일은 Windows 폴더 아이콘으로 위장한 'EXE' 실행 파일이었다. [그림 2] 폴더로 가장한 EXE 실행 파일 "알려진 파일 형식의 파일 확장명 숨기기" 기능이 활성화된 Windows 사용자라면 아무런 의심 없이 해당 악성 코드를 실행할 것이며, 필자 또한 폴더 아이콘에 무작정 마우스가 움직였다. 악성 코드가 실행되면 'C:\Documents and Settings\[사용자계정]\Local Settings\Application Data'경로에 'local.. 2014. 11. 28.
AhnLab ‘안전한 문자’로 스미싱 피해를 예방하세요! 스마트 폰 사용자들을 타깃으로 금전적 이득을 취하려는 악성 앱과 개인정보를 포함한 인터넷 뱅킹 정보를 탈취하려는 악성 앱이 급격히 증가하고 있다. 악성 앱 제작자는 지능적으로 사용자에게 악성 앱을 설치하도록 유도하고 있다. 설치 유도 방식 중에 가장 널리 이용되고 있는 것이 스미싱이다. 이러한 스미싱으로부터 사용자의 정보와 자산을 보호하기 위해 안랩에서는 '안전한 문자' 앱을 안드로이드 스마트폰 사용자에게 무료로 제공하게 되었다. '안전한 문자'는 모바일 백신 제품이 아니므로, 스마트 폰 제조사를 통하여 제공하고 있는 V3 모바일 백신 제품과 함께 사용하기를 권한다. 앞으로 안랩에서 제공하는 '안전한 문자'를 사칭한 악성 앱이 발견될 수 있으므로, 반드시 공인 마켓에서 'AHNLAB' 개발자를 확인하고 .. 2013. 10. 30.
신규 Java 0-day 공격. 국내 감염사례 발견 - 신규 Java 0-day 취약점 주의! 2013년 1월 10일 새로 발견된 Java Zero-day 취약점 (CVE-2013-0422)을 이용하여 악성코드에 감염되는 실제 사례가 국내에서 발견되어 주의가 필요하다. 해당 취약점은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등 자동화된 공격 도구에 이용되고 있으며 전세계에서 빠르게 확산되고 있는 상황이다. 이 취약점을 이용한 공격방법은 매우 다양한데, 아래와 같이 e-mail 에 악성링크 클릭 유도하거나 SEO poisoning 기법 이용하여 검색 사이트 상위에 노출시켜 접근토록 유도하는 사례 등도 발견되었다. [그림 1. Java 취약점을 이용한 악성 e-mail ] [그림2. Java.. 2013. 1. 11.
일본 여성 타게팅한 Loozfon 모바일 악성코드 최근 일본에서 여성 스마트폰 유저를 타겟으로 한 개인정보 유출형 악성코드가 발견되었다. 악성코드는 일반적으로 성인물, 도박, 불법약물 등 주로 남성들이 혹할만한 매개체 위주로 제작되는데에 반해, 최근 발견된 이 악성어플은 성인 여성을 노리고 제작된 점이 특징이다. 이 악성 어플은 어떠한 경로로 감염되는지 알아보자. A. 여성 종합 정보 사이트 여성 종합 정보 사이트에 아래그림과 같이 ‘이 남자를 추천합니다’ 라는 광고문구의 링크를 만들어 해당 링크를 클릭할 경우 악성 앱을 다운받아 설치를 유도한다. [fig 1. 여성정보 웹페이지에 있는 ‘이남자를 추천합니다’ 라는 문구의 링크] 출처: Symantec B. 광고성 스팸 메일 또 다른 감염방법으로 ‘돈을 많이 벌고 싶은 여성은 보세요’ 라는 내용으로 다량.. 2012. 9. 4.
e-mail 을 이용하는 APT 공격 주의 최근 이메일을 통해 문서파일(DOC, HWP, PDF 등)의 취약점을 이용하여 상대방의 시스템을 공격하는 일종의 APT 공격 시도가 많이 포착되고 있다. 공격이 되는 대상은 기존에 불특정 다수에게 e-mail 을 유포하는 방식이 아닌 특정 집단(기관, 학교, 회사 등) 을 주로 하고 있으며 사전에 수집된 e-mail 을 바탕으로 악성 파일을 drop 하는 문서파일을 첨부하며 열람을 유도해 표적 공격을 시작한다. 표적공격시 발송하는 e-mail 의 특징들은 아래와 같다. 1. 제목이 자극적이거나 중요한 메일인 것 같은 뉘앙스를 띔 2. 취약점을 사용할 수 있는 문서파일을 첨부하며 첨부파일 이름도 중요성을 띈 것처럼 표기 3. 메일 내용은 자세히 적지 않고, 첨부파일을 확인하라고 하여 문서파일 열람을 유도 .. 2012. 6. 22.
스파이아이 공격 대상 기업들의 업종과 국가 분석 안랩에서는 4월 2일 "인터넷뱅킹 정보탈취 악성코드 스파이아이 트렌드 발표"라는 보도자료를 배포하고, 금전적인 목적으로 인터넷 뱅킹 정보를 탈취하는 악성코드인 스파이아이(SpyEye)에 대해 경고하였다.스파이아이는 2010년 11월 ASEC에서 분석 및 연구한 결과에서 처럼 툴킷(Toolkit)을 통해 악성코드를 제작할 때 악성코드 제작자에 의해 어떠한 웹 사이트들 사용자 정보들을 탈취 할 것인지를 설정 파일을 통해 구성 할 수 있게 되어 있다.ASEC에서는 2012년 1분기 동안 확보한 스파이아이 악성코드 샘플들을 대상으로 스파이아이가 어떠한 기업들의 사용자 계정 정보와 암호를 탈취를 노리는지 자세한 분석을 진행 하였다.일반적으로 스파이아이는 악성코드가 첨부된 이메일 또는 취약한 웹 사이트 등을 통해 .. 2012. 4. 4.
QR 코드를 통해 감염되는 안드로이드 악성코드 발견 스마트폰에 대한 사용이 급증함에 따라 기존의 Barcode 기술의 Data 저장용량의 한계로 인해 새롭게 각광받는 것이 QR 코드라는 기술이다. QR 코드는 스마트폰의 카메라(스캔) 기능을 활용하여 그림과 같은 물리적 자료에서 디지털정보, 즉 인터넷 주소 등을 변환해 주는 역할을 함으로서 특히 이벤트나 광고에서 많이 사용되었다. [ 그림. 광고에 사용되는 QR 코드 ] 위키피디아 참고 http://ko.wikipedia.org/wiki/QR_코드 러시아의 특정 웹사이트에서 이와 같이 효과적으로 정보전달을 할 수 있는 매개체인 QR코드가 SMS를 통해 과금을 시키는 스마트폰 악성코드를 유포하는데 활용된 것이 밝혀져 관련 내용을 전한다. 1. 유포 유형 러시아의 특정 웹페이지에서 어플리케이션 홍보형식으로 Q.. 2011. 10. 7.