국내 유명 언론사의 직원으로 위장하여 비영리 민간 정책 연구소 소속의 특정인을 타깃으로 한 스피어 피싱 공격이 발견되어 주의가 필요합니다. 이번 공격은 국내 언론사로부터 칼럼 작성 요청을 받은 피해자가 원고를 제출한 후, 언론사 담당자를 사칭한 회신 메일에 악성코드가 첨부되어 전달되는 방식으로 이루어졌습니다. 공격자는 정상적인 업무 메일 흐름을 악용해 피해자의 신뢰를 얻고, 악성 파일을 실행하도록 유도한 것으로 분석됩니다. 이메일 본문에는 대용량 첨부파일 형태의 다운로드 링크가 포함되어 있으며, 피해자가 이를 클릭할 경우 ZIP 포맷의 압축 파일이 다운로드 됩니다. 공격자는 탐지 회피를 위해 국내 포털사이트 메일 서비스에서 제공하는 대용량 첨부파일 링크를 활용하였고, 압축 파일에 암호를 설정하..

악성코드 분석 리포트 2025. 8. 7. 17:12

최근 발견된 피싱 이메일에서 정상 CDN서비스에 호스팅 된 악성 NPM 패키지를 통해 피싱 페이지를 로딩하는 새로운 방식의 피싱 공격이 확인되었습니다. 해당 피싱 공격은 악성 HTML 파일이 첨부된 이메일을 통해 유포되었으며, 사용자에게 OneDrive로 공유한 주문서 확인을 요청하며 첨부파일 실행을 유도합니다. 사용자가 첨부된 HTML 파일을 실행하면 내부 코드를 통해 jsDelivr CDN에 호스팅 된 악성 NPM 패키지의 JavaScript 파일을 불러와 실행합니다. NPM 패키지는 "Node Package Manager"의 약자로, Node.js 환경에서 자바스크립트 패키지를 관리하고 설치하는 도구이며, jsDelivr CDN은 이러한 NPM 패키지와 GitHub 등 오픈 소스 파일을 무..

악성코드 분석 리포트 2025. 7. 23. 17:54

생성형 AI로 제작된 가상 이미지를 이용해 악성코드 유포에 악용한 공격이 발견되어 사용자분들의 각별한 주의가 필요합니다. 이번 공격은 ‘공무원증 초안 검토 요청’ 이라는 제목의 피싱 메일을 통해 유포되었으며, 첨부된 초안을 검토해 달라는 내용으로 첨부파일 확인을 유도합니다. 첨부파일은 대용량 첨부파일 형태이며, 클릭 시 외부 링크를 통해 ‘공무원증 초안(이름).zip’ 파일이 다운로드 됩니다. 다운로드 된 ZIP 포맷 압축 파일에는 이미지 파일 아이콘으로 위장한 LNK 바로가기 파일이 존재합니다. 사용자가 초안 이미지 파일로 오인하여 해당 LNK 파일을 클릭하면 파일 내부의 난독화 된 명령어가 cmd.exe 를 통해 복호화 되어 실행됩니다. 복호화된 명령어는 파워쉘 명령어로 공격자의 서버(..

악성코드 분석 리포트 2025. 7. 18. 22:25

마이크로소프트 다중 인증을 사칭하여 계정 정보 탈취를 시도하는 큐싱 메일이 유포되고 있어 사용자분들의 주의가 필요합니다. 큐싱(Qshing)은 QR 코드와 피싱(Phishing)의 합성어로, 사용자가 스마트폰으로 QR코드를 스캔하도록 유도한 뒤, 피싱 사이트로 접속시켜 개인정보를 탈취하는 피싱 수법입니다. 이번에 발견된 큐싱 메일은 ‘Ticket# QQL0ISI – MFA | 09 July, 2025’ 라는 제목으로 유포되고 있으며, 수신자의 이메일 계정에 대한 다중 인증이 만료될 예정이므로 마이크로소프트 365 서비스 연결을 위해 QR코드를 스캔하도록 유도하고 있습니다. 사용자가 이메일 내 QR 코드를 스캔하면 공격자가 제작한 피싱 사이트로 연결되며, 이 과정에서 먼저 캡차 인증 화면을 표시해 ..

악성코드 분석 리포트 2025. 7. 14. 16:21

대표적인 스미싱 유형 중의 하나인 교통민원24 사칭 스미싱이 최근 서브 도메인에 한글이 사용되어 유포 중인 것으로 확인되었습니다. 이번에 발견된 스미싱은 교통민원24를 사칭하여 고지서 또는 범칙금이 발급되었다는 내용으로 유포되고 있으며, 문자 내 포함된 링크의 서브 도메인에 “고지서“, “열람하기“ 등과 같은 한글 문구가 사용되었습니다. [국제발신][*교통민원24] 귀하에게 고지서가 발부되었습니다. hxxps://고지서.beup.my [국제발신][*교통민원24] 귀하에게 고지서가 발부되었습니다. hxxps://고지서.cuad.my [국제발신][경-찰-청24]범칙금부가 통지서가 발부완료. hxxps://열람하기.qadt.my 이러한 한글 서브도메인 사용은 백신 앱의 탐지를 피하고, 사용자가 보다 쉽게 클..

악성코드 분석 리포트 2025. 6. 17. 14:53

최근 온라인 쇼핑몰 판매업체들을 대상으로 배송 상품 파손을 사유로 반품을 요청하는 피싱 메일이 유포되고 있어 사용자분들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 발신자 명에 ‘환불 또는 반품(상품 파손)‘이라는 문구를 넣어 발송되었으며, 메일 본문에는 ‘상세 내용을 첨부했으니 확인해 달라’는 내용으로 첨부파일 열람을 유도하고 있습니다. 첨부된 파일은 ZIP 형식의 압축 파일로 되어 있으며, 내부에 ALZ 형식의 압축 파일이 들어 있고, 다시 그 안에는 또 다른 ZIP 파일과 EXE 파일이 포함된 형태로, 여러 단계로 다중 압축되어 있습니다. 이는 보안 프로그램의 탐지를 회피하려는 의도로 추측됩니다. 각각의 압축파일에는 ‘배송 당시 상세 사진 및 포장 내외부 배송 정보 포함 기타 사진들. ..

악성코드 분석 리포트 2025. 6. 4. 13:34

FTX claim Portal 공식 사이트를 (https://claims.ftx.com) 사칭한 피싱 사이트가 발견되어 사용자 분들의 주의가 필요합니다. FTX Claim은 파산한 암호화폐 거래소인 FTX에 자산을 맡겼던 고객이나 채권자가 자신의 손실에 대해 보상을 청구하는 절차입니다.2022년 말, FTX 거래소가 파산하면서 많은 사용자들이 예치한 암호화폐나 현금을 돌려받지 못하게 되었고, 이때 발생한 손실을 정식으로 청구 등록 (Claim Filing) 함으로써, 파산 재산 분배 과정에 참여하고 일부 자산을 돌려받을 수 있는 권리를 행사하는 것입니다. FTX의 1차 배상 분배가 2025년 2월 18일에 시작 되었으며, 최근 2차 배상 분배 일정이 2025년 5월 30일로 발표 되었습니다. 공격자는 ..

악성코드 분석 리포트 2025. 5. 28. 16:46

최근 우체국을 사칭한 배송 지연 안내 메일을 통해 개인정보 및 금융 정보를 탈취하고 소액 결제까지 유도하는 피싱 메일이 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 피싱 메일은 ‘[조치필요] 세금 미납으로 배송 중지 (운송장번호 K541472056KR)’ 라는 제목으로 발송 되었으며, 우체국에서 발송된 메일로 위장하기 위해 실제 우체국 고객센터 번호가 기재되어 있습니다. 본문에는 배송 중지 상태를 안내하며 사용자로 하여금 정상 배송을 위해 ‘세금 납부 및 배송 재개’ 링크를 클릭하도록 유인합니다. 사용자가 우체국 메일로 오인하여 해당 링크를 클릭하게 되면 우체국 배송조회 사이트로 위장한 피싱 페이지로 연결되며, 우체국에서 도착한 메시지 확인을 안내합니다.메시지 확인 시 송장번호로 배송 상..

악성코드 분석 리포트 2025. 5. 16. 13:49