최근 온라인 쇼핑몰 판매업체들을 대상으로 배송 상품 파손을 사유로 반품을 요청하는 피싱 메일이 유포되고 있어 사용자분들의 주의가 필요합니다. 이번에 발견된 피싱 메일은 발신자 명에 ‘환불 또는 반품(상품 파손)‘이라는 문구를 넣어 발송되었으며, 메일 본문에는 ‘상세 내용을 첨부했으니 확인해 달라’는 내용으로 첨부파일 열람을 유도하고 있습니다. 첨부된 파일은 ZIP 형식의 압축 파일로 되어 있으며, 내부에 ALZ 형식의 압축 파일이 들어 있고, 다시 그 안에는 또 다른 ZIP 파일과 EXE 파일이 포함된 형태로, 여러 단계로 다중 압축되어 있습니다. 이는 보안 프로그램의 탐지를 회피하려는 의도로 추측됩니다. 각각의 압축파일에는 ‘배송 당시 상세 사진 및 포장 내외부 배송 정보 포함 기타 사진들. ..

악성코드 분석 리포트 2025. 6. 4. 13:34

FTX claim Portal 공식 사이트를 (https://claims.ftx.com) 사칭한 피싱 사이트가 발견되어 사용자 분들의 주의가 필요합니다. FTX Claim은 파산한 암호화폐 거래소인 FTX에 자산을 맡겼던 고객이나 채권자가 자신의 손실에 대해 보상을 청구하는 절차입니다.2022년 말, FTX 거래소가 파산하면서 많은 사용자들이 예치한 암호화폐나 현금을 돌려받지 못하게 되었고, 이때 발생한 손실을 정식으로 청구 등록 (Claim Filing) 함으로써, 파산 재산 분배 과정에 참여하고 일부 자산을 돌려받을 수 있는 권리를 행사하는 것입니다. FTX의 1차 배상 분배가 2025년 2월 18일에 시작 되었으며, 최근 2차 배상 분배 일정이 2025년 5월 30일로 발표 되었습니다. 공격자는 ..

악성코드 분석 리포트 2025. 5. 28. 16:46

최근 우체국을 사칭한 배송 지연 안내 메일을 통해 개인정보 및 금융 정보를 탈취하고 소액 결제까지 유도하는 피싱 메일이 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 피싱 메일은 ‘[조치필요] 세금 미납으로 배송 중지 (운송장번호 K541472056KR)’ 라는 제목으로 발송 되었으며, 우체국에서 발송된 메일로 위장하기 위해 실제 우체국 고객센터 번호가 기재되어 있습니다. 본문에는 배송 중지 상태를 안내하며 사용자로 하여금 정상 배송을 위해 ‘세금 납부 및 배송 재개’ 링크를 클릭하도록 유인합니다. 사용자가 우체국 메일로 오인하여 해당 링크를 클릭하게 되면 우체국 배송조회 사이트로 위장한 피싱 페이지로 연결되며, 우체국에서 도착한 메시지 확인을 안내합니다.메시지 확인 시 송장번호로 배송 상..

악성코드 분석 리포트 2025. 5. 16. 13:49

유효한 정상 인증서가 포함된 악성코드가 발견되어 사용자분들의 각별한 주의가 필요합니다. 해당 악성 파일은 국내 유명 기업의 정상 인증서로 서명되어 있어 탐지 회피를 노렸으며, SCR 포맷의 실행 파일이지만 PDF 파일처럼 보이도록 아이콘이 조작되어 있습니다. 악성파일이 실행되면 파일 내부에서 PDF 파일을 추출하여 %TEMP% 폴더에 생성한 뒤 CMD 명령어를 이용해 실행합니다. 생성된 PDF 파일은 사용자의 주의를 끌기 위한 미끼 파일이며, 이로 인해 사용자는 감염 사실을 인지하기 어렵습니다. 이후 다시 config.dat 파일을 추출하여 %Public% 폴더에 생성하고 파일 생성이 완료되면 자가 삭제됩니다. 생성된 config.dat 파일은 악성 DLL 파일로 rundll32.exe 파일을..

악성코드 분석 리포트 2025. 5. 15. 11:04

최근, 지난 포스팅에서 소개했던 저작권 위반 피싱 메일이 메일 본문 내용과 내부 악성코드를 변경하면서 지속적으로 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 저작권 위반 관련 내용의 피싱 메일을 통해 유포되는 악성코드 주의! 이번에 발견된 피싱 메일은 국내 법무법인을 사칭하여 발송되었으며, 메일 본문 내 삽입된 ‘증거자료. PDF’ 링크 클릭을 유도합니다. 2개의 피싱 메일 모두 PDF 링크 클릭 시 단축URL을 통해 MediaFire 라는 클라우드 서비스 사이트로 접속하여 다음과 같은 압축파일이 다운로드 됩니다. ‘조사 결론을 뒷받침하는 확실한 증거.zip’ ‘지적재산권 침해 수사를 위한 증거 자료.zip’ 이때 사용자 PC의 기본 브라우저가 엣지가 아닌 경우, 엣지 브라우저 ..

악성코드 분석 리포트 2025. 5. 14. 11:51

최근 글로벌 운송사의 배송 물품 파손 보고서를 위장한 피싱 메일을 통해 악성코드가 유포되고 있어 사용자분들의 각별한 주의가 필요합니다. 메일 본문에는 사용자가 발송한 물품이 배송 중 손상되어 파손 상태를 기록한 “물품 파손 보고서”를 첨부하였으니 확인해달라는 내용으로 첨부파일 실행을 유도합니다. 첨부파일은 7Z 포맷의 압축파일로 내부에 VBS 스크립트 파일이 포함되어 있습니다. 해당 파일은 이중 확장자를 사용하여 파일 확장명 보기 옵션이 비활성화된 환경에서는 마치 PDF 파일처럼 보이도록 위장되어 있습니다. VBS 스크립트 파일은 주석 사이에 호출할 파워쉘 명령어를 섞어 만든 소스코드 난독화로 구성되어 있습니다. 사용자가 이를 PDF 파일로 오인하여 실행할 경우, 파워쉘 명령어가 동작하게 됩니다..

악성코드 분석 리포트 2025. 4. 21. 16:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.  현재 기고 중인 국방 분야 학술논문으로 위장하여 RokRAT 악성코드를 유포하는 공격이 발견되어 관련자 분들의 각별한 주의가 필요합니다. 학술 논문으로 위장한 악성 파일은 LNK (바로가기) 파일로 내부에 파워쉘 코드가 포함되어 있습니다.   LNK 파일이 실행되면, 파워쉘 명령어를 통해 LNK 파일에 내장된 여러 파일이 추출 및 생성됩니다. 이 과정에서 LNK 파일과 동일한 경로에 디코이 PDF 파일이 생성되며, %TEMP% 폴더에는 toy01.dat, toy02.dat, toy03.bat 파일이 생성됩니다. 파일명 오프셋 사이즈 행위 (LNK파일명).pdf0x000010E40x2A7965디코이 파일toy01.dat0x002A8A4..

악성코드 분석 리포트 2025. 3. 27. 15:19

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.ESRC에서는 지난해 하반기부터 SVG 포맷의 악성코드가 유포되는 공격들을 모니터링하던 중 최근 국내 기업을 대상으로 해당 공격이 진행된 정황을 포착하였습니다. 해당 공격은 글로벌 해운 업체의 선적물 안내 메일로 위장한 피싱 메일을 통해 유포되었으며, 메일 내 첨부파일 형태로 SVG 포맷의 악성코드가 존재합니다. SVG 포맷은 벡터 기반의 이미지 파일 형식으로 웹 디자인과 UI 개발에서 많이 활용되는 파일 형식입니다. XML 기반으로 작성되며, 내부에 JavaScript와 CSS를 사용할 수 있는 특징과 일반적으로 이미지 파일로 인식되어 보안 프로그램에서 악성코드로 인식하기 어렵다는 점을 악용하여 공격자들이 악성코드 유포 수단으로 사용하고 ..

악성코드 분석 리포트 2025. 3. 13. 17:58