안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Trojan.PSW.Ficker(이하 ‘Ficker Stealer’)는 MaaS(Malware as a Service)로 제공되는 정보 유출 악성코드로, 음원 관련 특정 애플리케이션의 사칭이나 Hancitor 다운로더 등에 의해 유포가 되는 것으로 알려져 있습니다. 이 악성코드는 감염 PC 정보와 웹 브라우저 등의 애플리케이션 크리덴셜 정보 탈취와 더불어 추가 페이로드 다운로드 실행 기능을 수행합니다. 'Ficker Stealer’는 감염 PC 정보, 애플리케이션 크리덴셜 정보 탈취 기능과 추가 페이로드 다운로드 기능을 가진 악성코드입니다. 로컬 정보를 확인하여 동구권 국가인 경우 프로그램 종료하는 점, 정보 탈취 목적과 더불어 추가 페이..

악성코드 분석 리포트 2021. 7. 19. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 6월 25일, 차세대 운영체제 '윈도우 11(Windows 11)'이 공개되었습니다. 해당 운영체제는 올해 안에 신규 생산되는 PC에 기본 탑재될 예정이며, 윈도우 10 사용자가 만약 현재 사용중인 PC의 하드웨어 사양 등의 조건이 충족할 경우 무료 업그레이드를 지원합니다. 이러한 와중에 윈도우 11 셋업파일을 위장한 랜섬웨어가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 랜섬웨어는 'Windows11正式版(Windows정식버전)'을 위장하고 있으며, 중국어로 제작된 것으로 보아 중국에서 유포중인 것으로 추정됩니다. 만약 사용자가 파일을 실행하면, 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀..

악성코드 분석 리포트 2021. 7. 15. 15:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠 피싱은 여러 가지 방법으로 피해자에게 연락하여 화상 채팅을 유도하고 피해자의 모습을 촬영한 후 주변 지인들에게 유포를 빌미로 협박하는 수법입니다. 공격자의 목적은 오로지 돈이며 요구하는 가격 또한 피해자마다 천차만별입니다. 현재까지도 꾸준하게 발생하는데 특정 공격자들이 매일 1~2개씩 지속해서 악성 앱을 만들어 내고 있으며 좀 더 조직화하여 활동하는 것으로 보입니다. 유포되고 있는 악성 앱 목록을 살펴보면 [그림 1]과 같이 다양하게 위장하고 있는 것을 확인할 수 있습니다. 이러한 앱을 설치하게 되는 몸캠 피싱의 몇 가지 유형에 대해 알아보도록 하겠습니다. 유형 소개 랜덤 채팅 피해자에게 연락하기 위해 여러 가지 매체를 활용하는 데 ..

악성코드 분석 리포트 2021. 7. 15. 09:38

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 네이버 전자세금계산서를 위장한 악성메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 악성 메일은 네이버에서 발급한 전자 세금 계산서를 위장하고 있습니다. 공격자는 발신자 이메일 주소 도메인을 navercorp.com으로 만들어 수신자로 하여금 진짜 naver로 온걸로 착각하도록 유도합니다. 또한 보안메일을 첨부파일 형식으로 발송한다는 내용으로 사용자들의 첨부파일 실행을 유도합니다. 압축파일 내에는 pdf 파일을 위장한 실행파일(.exe) 파일이 포함되어 있습니다. 만약, 사용자가 해당 파일을 pdf 파일로 착각하여 실행한다면 악성코드가 실행됩니다. 악성코드가 실행되면 사용자 PC 정보와 함께 웹 브라우저, 메일 클라이언트, FT..

악성코드 분석 리포트 2021. 7. 15. 09:35

안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(13일) 오전 9시 40분경부터 Makop 랜섬웨어가 이력서를 위장한 피싱 메일을 통해 유포 중에 있어 사용자들의 주의가 필요합니다. 해당 랜섬웨어는 이력서를 위장한 악성 파일이 첨부된 피싱 메일을 통해 유포되고 있습니다. 메일에 첨부된 악성 파일 내에는 워드, 혹은 엑셀 파일을 위장한 실행 파일(exe)이 포함되어 있으며, 사용자가 일반 문서 파일로 위장한 악성 파일을 실행할 경우 Makop 랜섬웨어가 실행됩니다. 랜섬웨어가 실행되면 먼저 Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다. 이후 현재 사용자가 사용 중인 프로세스와 관련된 파일들을 암호화시키기 위해 실행 중인 프로세스들을 확인하고 종료시킵니다..

악성코드 분석 리포트 2021. 7. 13. 13:46

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 전화상담을 통해 대출신청서 파일을 카카오톡 메신저로 전달하는 스미싱 공격이 등장하여 사용자들의 주의가 필요합니다. 사용자에게 전달된 메시지에는 “신청서.zip” 압축파일을 다운로드 및 설치를 유도하고 앱 설치에 필요한 “출처를 알 수 없는 앱 허용” 옵션까지 설명하고 있습니다. “신청서.zip” 파일 내부는 실제 대출신청서가 아니라 “신청서.apk” 안드로이드 파일이 압축되어 있습니다. 사용자가 압축 파일 내의 앱을 실행하면 실제 저축은행 앱처럼 구성되어 있어 사용자는 정상적인 앱으로 믿고 대출 신청을 진행하게 되지만, 실제 앱은 사용자의 정보를 탈취하는 기능을 가지고 있습니다. 해당 악성 앱의 주요 기능은 아래와 같습니다. - 기기 정보 탈취 - 공..

악성코드 분석 리포트 2021. 7. 13. 11:45

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2021년 1월 최초로 등장한 Babuk 랜섬웨어는 지난 4월까지 전 세계 기업 및 특정 개인을 대상으로 활발한 공격 활동을 펼쳤습니다. 하지만 지난 4월, 워싱턴 DC 경찰서 공격을 마지막으로 랜섬웨어 운영을 중단하였습니다. 그 후 5월 말, Babuk 랜섬웨어 운영자는 데이터 유출 사이트를 Payload.bin으로 리브랜딩 후 다른 공격자들에게 피해자들로부터 훔친 데이터를 유출할 수 있는 기회를 제공하였습니다. 6월 말, 악성코드 스캐닝 사이트 Virustotal에 Babuk 랜섬웨어 빌더가 업로드되었으며, 이를 한 보안 연구원이 발견하였습니다. 이 빌더가 Virustotal 사이트에 업로드된 경위는 아직 확인되지 않았습니다. 이에 E..

악성코드 분석 리포트 2021. 7. 12. 15:36

안녕하세요. ESRC(시큐리티 대응센터)입니다. 금일(12일)부터 국/내외 불특정 다수의 사용자에게 Hoax 이메일이 유포되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 'Important Updates' 라는 제목으로 유포되고 있습니다. 최근 전 세계적으로 이슈되고 있는 Kaseya 랜섬웨어 유포사건으로 기업들이 보안 SW 업데이트의 촉각을 기울이고 있습니다. 이번 혹스 메일은 이러한 상황을 노리는 것으로 추측됩니다. 이메일은 영문으로 작성되었으며, 제로데이 취약점을 악용하여 사용자 PC를 해킹하였다는 내용과 함께, 이메일에 포함된 비트코인 주소로 1650달러 상당의 비트코인을 보내라고 협박하는 내용을 포함하고 있습니다. 혹스 메일의 내용은 다음과 같습니다. I am sorry to in..

악성코드 분석 리포트 2021. 7. 12. 11:11