최근 국내인들을 대상으로 비트코인 정보를 탈취하는 메일이 유포되고 있는 정황이 이스트시큐리티 시큐리티대응센터(ESRC) 모니터링에 포착되어 이용자들의 주의를 당부 드립니다. 이번 메일은 윈도우 7, 8, 10 운영체제를 대상으로 보안 패치를 공개하였고, 첨부된 파일을 실행하여 시스템을 최신으로 유지하라는 내용으로 되어 있습니다. [그림 1] 윈도우 보안 업데이트 안내로 위장한 메일 첨부된 악성코드는 VB(Visual Basic) 언어로 제작되어 있으며, 보안 패치와 무관하게 “%AppData%\Bitcoin\” 경로에 비트코인 지갑 정보가 담긴 wallet.dat 파일 내용을 C&C(80.208.230.159)로 전송하는 기능을 수행합니다. [그림 2] 비트코인 지갑 파일 [그림 3] 비트코인 지갑 파일..

악성코드 분석 리포트 2017. 9. 18. 16:51

안녕하세요. 이스트시큐리티입니다. 지난 7월경 Google Play Store 에 바탕화면 이미지를 제공하는 앱으로 위장하여 화면 잠금 기능을 수행하는 악성앱이 업로드 되었고, 약 5,000회에서 10,000회 사이 가량의 다운로드가 이루어졌습니다. 악성앱이 실행되면 다양한 바탕화면 이미지를 제공해주는 정상 앱을 보여줍니다. 하지만 기기 재부팅 시 화면 잠금 행위를 수행하는 리시버가 실행이 되고, 이용자에게 기기에 저장된 사진 및 연락처 등의 유출된 자료를 삭제하는 대가로 50달러 혹은 0.05 비트코인에 해당되는 금전을 지불하도록 유도하는 화면을 띄웁니다. 이번 보고서에서는 'Trojan.Android.SLocker' 악성앱을 상세 분석하고자 합니다. 악성코드 상세 분석 본 악성 앱은 Google Pl..

악성코드 분석 리포트 2017. 8. 30. 11:01

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 애드웨어 서버의 업데이트 파일을 은밀히 변조(해킹)해 지속적으로 최신 파밍 악성코드가 유포 중인 것이 시큐리티대응센터 보안관제 중 포착되었습니다. 특히나 해당 애드웨어의 경우 정상 프로그램과 함께 제휴 프로그램을 함께 설치하는 형태로 배포하고 있어 부지불식간에 이용자 피해가 발생할 수 있어 주의가 필요합니다. [그림 1] 특정 제휴 프로그램 다운로더 화면 이번 애드웨어 업데이트 파일 변조 역시 지난 ‘게임 최적화 프로그램’ 사례와 마찬가지로 업데이트 서버내에 존재하는 URL 값을 파밍 악성코드로 변경하였습니다. [그림 2] 애드웨어 업데이트 웹 페이지에서 URL 명령 값 변조 따라서 이용자가 다운로더를 통해 설치를 진행할 경우 은밀하게 파..

악성코드 분석 리포트 2017. 8. 22. 14:44

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다. 이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다. 해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다. [그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일 - image.***.co/mxRqXF/arrival.jpg-..

악성코드 분석 리포트 2017. 8. 21. 21:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비트코인 시세가 가파르게 상승하면서 많은 사람들이 가상화폐에 높은 관심을 가지고 있습니다. 이에 따라 가상화폐와 관련된 다양한 사이버 범죄들도 비례적으로 증가하고 있어 각별한 주의가 필요한 시기입니다. 그런 와중에 지난 일요일(20일) 국내의 특정 가상화폐 거래소 이용자 등을 대상으로 피싱메일이 다량으로 전파된 정황이 포착되었습니다. 공격자는 국내 유명 비트코인 거래소 중 한곳을 사칭하여 마치 '출금완료 알림' 내용으로 조작한 피싱 메일을 유포했으며, 메일 본문에는 다음과 같이 '새로운 기기에서의 로그인 알림' 내용처럼 위장하고 있습니다. 특히, 다른 IP 주소에서 수신자의 로그인이 발생한 것처럼 보안주의를 안내함으로써, 공격 대상자의 심..

악성코드 분석 리포트 2017. 8. 21. 11:13

크롬 브라우저 확장 프로그램을 악용한 페이스북 피싱 기법 주의! 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 8월 16일 오전부터 가짜 동영상 화면으로 위장된 악성 URL 링크가 페이스북(Facebook) 메신저를 통해 무작위로 전파되고 있어 사용자들의 각별한 주의가 필요합니다. 크롬(Chrome) 웹 브라우저가 활성화 되어 있고 페이스북에 로그인 되어 있을 경우, 감염된 페이스북 사용자의 메신저를 통해 비디오 동영상 링크로 위장된 단축 URL 주소가 전송됩니다. [그림 1] 페이스북 메신저로 전송된 악성 단축 URL 링크 화면 만약, 피해자가 페이스북 친구로부터 메신저를 통해 받은 해당 단축 URL 링크를 클릭하게 되면 보낸이의 프로필 사진으로 위장한 구글 DOC 사이트로 연결되며 재생..

악성코드 분석 리포트 2017. 8. 17. 14:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악명높은 Locky 랜섬웨어 변종이 이메일 첨부파일을 통해 국내외로 다수 전파되고 있습니다. 인터넷 이용자분들은 아래 내용을 숙지하여 유사한 보안위협에 노출되지 않도록 각별히 주의하시기 바랍니다. 이번 공격 수법도 기존 사례와 비슷하게 이메일에 ZIP 파일을 첨부했고, 압축 내부에 악성 비주얼 베이직 스크립트(VBS) 파일을 포함하고 있습니다. 이메일 제목과 첨부파일에는 'E 2017-08-09 (숫자).확장명' 형태를 띄고 있으며, 확장명은 'PDF', 'XLS', 'DOC', 'XLSX', 'DOCX', 'TIFF', 'JPG' 등 다양하게 사용되었습니다. [그림 1] 이메일 유포 화면 사례들 이번 Locky 랜섬웨어 유포에 사용된 대부분의..

악성코드 분석 리포트 2017. 8. 10. 15:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GlobeImposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다. 잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다. 그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다. 그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다. [그..

악성코드 분석 리포트 2017. 8. 1. 11:03