안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 7월 스미싱 공격은 6월에 비해 소폭 증가하였습니다. 본격적인 4차 팬데믹에 스미싱 공격도 증가하는 양상입니다. 스미싱 공격의 대부분은 여전히 택배를 주요 키워드로 하고 있습니다. 7월 스미싱 트렌드를 살펴보겠습니다. 7월 스미싱 트렌드 ESRC에서 수집 한 7월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 7월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 금융 대출과 연관된 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 암호화폐 암호화폐 거래소 사칭. 피싱 사이트 접속 유도 문구로 구성 [표 1] 수집 스미싱 문자들의 키워드 기반 분류 다음..

악성코드 분석 리포트 2021. 8. 30. 18:05

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 새로운 형태의 택배 스미싱이 유포되고 있어 사용자들의 주의가 필요합니다. 새로운 형태의 스미싱은 택배 스미싱을 위장하고 있으며, '[CJ 대한통운] 해외배송 중 주소지 오류로 배송 지연 중 **.***.*** 주소지 확인 요망' 문구로 유포되고 있습니다. 사용자가 해당 링크를 클릭하면 qr.kakao로 연결되면서 카카오톡 친구추가 페이지로 넘어갑니다. 기존 스미싱의 경우 해당 링크를 클릭하면 악성 apk가 다운로드되거나 피싱 페이지로 넘어가지만, 최근 유포되고 있는 스미싱의 경우 카카오톡 친구추가를 이용하기 때문에 사용자들이 스미싱이라고 인지하지 못할 수도 있습니다. 스미싱 링크에서 연결되는 친구추가는 프로필사진과 상태메세지가 실제 ..

악성코드 분석 리포트 2021. 8. 30. 15:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 기업 사용자의 계정정보를 노린 피싱 메일이 유포되고 있어 기업사용자들의 각별한 주의가 필요합니다. 이번에 발견된 피싱메일은 특이하게 자신의 메일 계정에서 발송된 피싱메일로, 자신이 자신에게 스캔파일을 보낸 것처럼 위장하여 사용자들의 클릭을 유도합니다. 이는 실제로 복합기에서 스캔 후 이메일로 보내기를 하면, 스캔 파일이 이메일로 수신되는 것을 악용한 방식으로 추정됩니다. 피싱 메일에는 '첨부된 문서를 열어주세요. Xerox 복합기를 사용하여 스캔하여 귀하에게 보냈습니다.'라는 문구와 함께 html 파일이 첨부되어 있습니다. 사용자가 html 파일을 클릭하면 사용자 이메일이 입력되어 있는 로그인 창이 뜨며 사용자에게 비밀번호 입력을 유도합니..

악성코드 분석 리포트 2021. 8. 26. 16:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 신용대출한도 축소와 일부 은행들의 주택담보대출 제한 소식들이 많이 들리며 혼란이 고조되고 있는 가운데, 최근 인터넷 전문은행을 사칭한 스미싱이 발견되어 사용자들의 각별한 주의가 필요합니다. 내용 고객님 고유 보안코드로 발급된 모바일신청서입니다. hxxp://xx.xx.xx.xx/xxxxx/xxxx/***Bank.apk ① 해당 주소링크 클릭 ② 설치 및 열기7 ③ 기재 내용 작성 ④ "신청버튼" 클릭 완료 이번에 발견된 스미싱은, ***뱅크모바일상담신청서라는 내용과 함께 링크가 포함되어 있습니다. 사용자가 해당 링크를 클릭하면 모바일 브라우저가 실행되며 은행 앱 UI를 위장한 페이지가 뜹니다. 동시에 은행 앱을 위장한 악성 apk가 ..

악성코드 분석 리포트 2021. 8. 25. 15:40

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 이번에 발견된 피싱 메일은 해외 직구족들을 타깃으로 하고 있으며, 수입통관정보를 위장하여 계정 정보를 탈취하여 사용자들의 주의가 필요합니다. 해당 이메일은 'RE: [EXTERNAL] Re: [FedEx] AWB# 397911942611 / 397911943169' 제목으로 유포 중이며, 이메일에는 수입통관정보 제출안내라는 내용과 함께 html 파일이 포함되어 있습니다. 사용자가 첨부파일을 클릭하면 다음과 같이 엑셀 화면과 함께 계정 정보를 입력하라는 창이 뜹니다. 만약 사용자가 계정 정보를 입력하고 [View Document]를 누르면, 다음과 같이 캡챠 인증 단계가 나타납니다. 만약 사용자가 캡챠 인증을 완료하면 사용자가 입력한 정보가..

악성코드 분석 리포트 2021. 8. 24. 11:31

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. ESRC에서는 자체 운영 중인 이메일 모니터링 시스템의 데이터를 통해 이메일 중심의 공격이 어떻게 이루어지고 있는지 공유하고 있습니다. 다음은 08월 15일~08월 21일까지의 주간 통계 정보입니다. 1. 이메일 유입량 지난주 이메일 유입량은 총 97건이고 그중 악성은 32건으로 32.99%의 비율을 보였습니다. 악성 이메일의 경우 그 전주 44건 대비 32건으로 12건이 감소했습니다. 일일 유입량은 하루 최저 6건(악성 3건)에서 최대 23건(악성 12건)으로 일별 편차를 확인할 수 있습니다. 2. 이메일 유형 악성 이메일을 유형별로 살펴보면 32건 중 Attach-Phishing형이 46.9%로 가장 많았고 뒤이어 Attach-Malware..

악성코드 분석 리포트 2021. 8. 24. 09:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 고전적인 수법의 피싱 사기는 현재까지도 지속해서 발생하고 있습니다. 공격자들은 유형만 조금씩 바꿔서 진행하는데, 여러가지 버전의 앱들을 만들고 배포하며 체계적으로 관리합니다. 최근에도 SNS를 통해 본인이 필라테스 강사임을 밝히며 접근해오는 수법으로 피해자를 물색하고 있습니다. 공격자들이 유포하고 있는 앱을 보면 갤러리, 동영상, 보안카메라 등 사진 관련 앱들로 구성되어 있고 주로 영상을 보여주는 것처럼 위장하고 있습니다. 분석 내용을 살펴보면 ‘Trojan.Android.Banker’는 돈을 목적으로 사용자의 정보를 탈취합니다. 현재 감염자는 대략 1,000명이며 지금, 이 순간에도 지속해서 늘어나고 있습니다. 보이스 피싱으로 인해 금전..

악성코드 분석 리포트 2021. 8. 20. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다. Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다. Bazar 악성코드는..

악성코드 분석 리포트 2021. 8. 19. 09:00