악성코드 정보1153 이력서로 위장해 유포중인 NEMTY v2.6 발견(2020.03.17) ASEC 분석팀은 3월 17일 이력서로 위장한 NEMTY 랜섬웨어가 버전 2.6으로 업데이트 되어 유포 됨을 확인하였다. 2020년 1월 부터 3월까지 확인된 NEMTY 랜섬웨어의 버전은 2.5였다. 과거와 현재 모두 실제 이력서를 지원하는것 처럼 위장해 메일을 보내기 때문에 기업의 인사 담당자들이 특히 감염되기 쉬워 각별한 주의가 필요하다. 현재까지 확인된 유포에 사용된 파일명들은 다음과 같다. 포트폴리오(200317)_뽑아주시면 열심히하겠습니다.exe 입사지원서(200317)_뽑아주시면 열심히하겠습니다.exe 실제 유포에 사용된 이메일의 내용은 다음과 같다. 뮤텍스(Mutex) 이름을 제외하고는 기존에 유포되었던 NEMTY 2.5와 동일한 기능을 가진다. 해당 랜섬웨어 행위관련 상세한 내용은 아래 블.. 2020. 3. 18. 구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17. 악성 매크로 코드를 '좀 더' 숨긴 엑셀 파일 유포 - very hidden 새로운 방식으로 악성 매크로 코드를 숨긴 엑셀 파일이 발견되었다. 이번 파일은 엑셀 4.0 (XLM) 매크로 시트를 이용하였는데, 기존의 악성 매크로 시트를 단순히 숨겼던 방식에서 일반적인 사용자 인터페이스로는 숨김 속성을 없앨 수 없게 없게 변경하였다. VBA 매크로 코드 방식을 이용하지도 않고 XLM 매크로 시트를 직접 확인할 수도 없기 때문에 문서 내에 악성 코드가 어디에 존재하는지 바로 확인하기 어렵다. 파일명 - invoice_805274.xls 생성일 - 2020-03-09 15:30:32 MD5 - a7b074da0251f0f8952090967846737e 엑셀 4.0 매크로 시트를 이용한 악성 파일은 2019년 초 활발하게 유포되었다. 당시 유포된 파일은 매크로 시트를 숨기기(Hide) 함.. 2020. 3. 11. 신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5. 견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용) ASEC 분석팀은 오늘(3월 4일) 견적서로 위장한 정보 탈취 형(키보드 입력값 유출) 악성코드가 유포 중임을 확인하였다. 2차 악성파일 다운로드 주소가 일반인들이 정상적으로 많이 사용하는 구글 드라이브(https://drive.google.com)를 이용한 점도 정상적인 행위로 위장하기 위한 것으로 추정된다. 해당 악성코드는 자사에서 이전에 공개하였던 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 아래의 악성코드와 동일한 유형으로 확인되었다. [주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 - 2020. 2. 27 https://asec.ahnlab.com/1290 아래 [그림1, 2]과 같이 메일 내부에 정상적인 견적서 이미지(img)파일이 첨부되어있으며 해당.. 2020. 3. 4. 3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3. 가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk6.. 2020. 3. 2. 특정 환경에서만 동작하는 새로운 동적 분석 우회 기법 ASEC 분석팀은 활발하게 유포되고 있는 악성코드들을 모니터링하던 중 새로운 형태의 동적 분석 우회 기법을 확인하였다. 최근 다수 유포되고 있는 악성코드들은 진단을 회피하기 위한 목적으로 악성코드 실행 환경을 확인 후 조건에 부합하면 Crash를 발생시켜 동작하지 않도록 한다. 이번에 소개될 기법은 특정 어셈블리 명령어를 사용하는 방법과 사이즈가 큰 메모리를 할당 가능한지에 대한 여부를 확인하는 방법이다. 1. AVX 지원 여부(VXORPS 명령어) ‘VXORPS’ 명령어를 사용하여 AVX를 지원하지 않는 환경에서 동작하는 경우 Crash가 발생하는 악성코드는 주로 Visual Basic으로 만들어진 악성코드다. 최근에 소개된 ‘국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드’ 블.. 2020. 2. 27. 이전 1 ··· 10 11 12 13 14 15 16 ··· 145 다음
