정보유출7 Vidar 인포스틸러 악성코드 정보 유출 기능 분석 Vidar는 사용자 정보를 유출하는 기능을 갖는 인포스틸러 악성코드이다. 아래의 주간 통계에서도 확인 되듯 Top 5 안에는 포함되지 않지만 꾸준히 일정 비율을 차지하고 있으며, 한동안 Top 5에도 포함되었던 이력을 보면 다시 그 유포량이 증가할 수 있다. https://asec.ahnlab.com/1375 ASEC 주간 악성코드 통계 ( 20200824 ~ 20200830 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 8월 17일 월요일부터 2020년 8월 23일 일요일까지 수집된 한 주 asec.ahnlab.com 최근 한 달 동안 확인된 유포 파일 개수는 아래의 표와 같다. 모두 "build... 2020. 9. 8. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. ASEC 주간 악성코드 통계 ( 20200803 ~ 20200809 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 8월 3일 월요일부터 2020년 8월 9일 일요일까지 수집된 한 주�� asec.ahnlab.com 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는.. 2020. 8. 19. 국세청 '전자세금계산서' 사칭 악성코드 유포 ASEC 분석팀은 최근 국내 이메일을 통한 악성코드 유포 사례를 모니터링 하던 중, 국세청 전자세금계산서 발급 메일을 사칭하여 정보유출 형 악성코드가 유포 중인것을 확인하였다. 아래의 그림은 공격에 사용된 메일로 국세청에서 정상적으로 특정 사업자에게 발송된 것으로 위장한 것을 알 수 있다. 이메일의 첨부파일은 "NTS_eTaxInvoice.html" 로 스크립트 파일 형식이다. 해당 HTML 파일을 실행 시, 특정 사이트로 접속하여 2차 악성파일(*.img)을 다운로드 받는 구조이다. (사례-1) (사례-2) P style="FONT-FAMILY: �s�ө���, Arial; COLOR: rgb(0,0,0); MARGIN: 0cm 0cm 0pt; LINE-HEIGHT: 10pt" align=center>.. 2020. 8. 18. AgentTesla 악성코드 국내에 어떻게 유포되고 있나? 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서.. 2020. 7. 28. 코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) ASEC 분석팀은 최근 복사한 코인 지갑 주소를 공격자의 지갑 주소로 변경하는 기능을 갖는 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드는 아래의 글에서 언급한 샘플들과 동일한 패커로 포장되어 유포 중이다. https://asec.ahnlab.com/1276 동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로�� asec.ahnlab.com 코인 지갑 주소의 경우 길고 랜덤한 문자열을 갖기 때문에 일반 사용자가 직접 외워서 쓰기가 쉽지 않다. .. 2020. 5. 11. 견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용) ASEC 분석팀은 오늘(3월 4일) 견적서로 위장한 정보 탈취 형(키보드 입력값 유출) 악성코드가 유포 중임을 확인하였다. 2차 악성파일 다운로드 주소가 일반인들이 정상적으로 많이 사용하는 구글 드라이브(https://drive.google.com)를 이용한 점도 정상적인 행위로 위장하기 위한 것으로 추정된다. 해당 악성코드는 자사에서 이전에 공개하였던 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 아래의 악성코드와 동일한 유형으로 확인되었다. [주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 - 2020. 2. 27 https://asec.ahnlab.com/1290 아래 [그림1, 2]과 같이 메일 내부에 정상적인 견적서 이미지(img)파일이 첨부되어있으며 해당.. 2020. 3. 4. 동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산? ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다. Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다. 현재 확인된 외형은 [그림2]와 같이 파일.. 2019. 12. 11. 이전 1 다음
