본문 바로가기

makop5

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06) ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부) ASEC 분석팀에서.. 2020. 10. 6.
국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부) ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 - [악성코드 정보] - [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) 해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200826(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_.. 2020. 9. 10.
[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어 ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다. 최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 "MalPE"유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe [주의] 이력서와 공정거래위원회를 사칭.. 2020. 6. 12.
[주의] 이력서로 위장한 makop 랜섬웨어 (04.13) ASEC 분석팀은 4월 13일 이력서로 위장해 유포 중인 makop랜섬웨어를 발견하였다. 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(.hwp) 아이콘의 실행파일(exe)이 존재한다. 금일 확인된 유포 파일명은 아래와 같이 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글말 사용이 서툰 것으로 추정된다. 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe 감염 시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다. MalPe 패커를 사용한 이력서 위장 랜섬웨어는 한달에 2~3번씩은 각각 다른 랜섬웨어를 사용해.. 2020. 4. 13.
3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3.

티스토리툴바