안녕하세요. ESRC(이스트시큐리티 시큐리티대응센터)입니다. 최근 코로나19 바이러스로 인해 마스크 수요가 증가하자 인터넷 거래를 유도하여 국내 포털 사이트의 계정과 개인 정보 및 금전적인 이득을 취하는 중고마켓 사기가 발생하고 있어 사용자들의 주의가 필요합니다. 허위 마스크 판매자는 실제 중고마켓에 마스크 판매 글을 올려 직거래나 택배 판매는 안되고 연락을 특정 메신저를 통해서 받고 있으며, 메신저를 통해 연락 시 사용자에게 허위 안전거래 사이트 링크를 전달하는 방식으로 접근하고 있습니다. [그림 1] 메신저를 통한 허위사이트 전달 화면 판매자가 전달 한 링크를 클릭하면 특정 중고마켓 사이트와 동일하게 만들어진 허위 사이트로 이동하게 됩니다. [그림 2] 중고마켓 사이트와 유사하게 만들어진 허위 사이트..

악성코드 분석 리포트 2020. 3. 11. 08:40

안녕하세요. ESRC(시큐리티 대응센터)입니다. 코로나19 바이러스 이슈와 관련된 악성 메일이 끊임없이 유포되고 있습니다. ※ 관련 글 보기 ▶ "코로나19 바이러스" 이슈를 악용한 악성코드 주의(2) (20.02.26)▶ "코로나 바이러스" 이슈를 이용하여 공격중인 악성코드 주의! (20.02.20) 이번에 발견된 악성 메일은 WHO(World Health Organization)를 위장하고 있으며, Coronavirus Updates라는 제목으로 유포됩니다. [그림 1] 코로나 바이러스 이슈를 악용한 악성 메일 메일 본문에 SNS 아이콘이 포함되어 있는데, 해당 아이콘들을 클릭하면 실제 WHO(World Health Organization)의 공식 SNS 계정으로 연결됩니다. 해당 메일에는 ATT00..

악성코드 분석 리포트 2020. 3. 10. 08:24

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 수신자 은행 계좌번호가 변경되었음을 알리는 허위 안내서로 사용자의 계정을 노리는 금융 피싱 메일이 발견되고 있어 사용자들의 주의가 필요합니다. [그림 1] 은행 계좌 번호 변경 제목으로 유포된 이메일 화면 해당 메일은 수신자 은행 계좌번호가 변경되었음을 알리는 안내서를 첨부 파일로 추가했습니다. 만약 사용자가 해당 첨부 파일을 다운로드하여 압축 해제하고 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있습니다. [그림 2] 첨부파일 내부 화면 해당 계정 피싱 메일을 받은 사용자가 은행 계좌번호 변경 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행하면 국내 포털 사이트를 가장한 로그인 화면으로 이동됩니다. [그림 3] 첨부 파일 실..

악성코드 분석 리포트 2020. 3. 6. 13:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. ▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! 비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. [그림 1] 이력서를 위장하고 있는 악성 메일 이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사..

악성코드 분석 리포트 2020. 3. 6. 08:32

안녕하세요. ESRC(시큐리티대응센터)입니다. 최근 해외 유튜브 동영상 포스팅 하단의 설명부 링크를 악용하여 유포중인 RAVACK 랜섬웨어가 확인되어 주의가 필요합니다. 해당 랜섬웨어는 해외 유튜브 계정에 업로드된 유료SW의 크랙버전 및 activation 소개 영상물을 통해 유포가 이뤄집니다. [그림 1] 유튜브에 유료SW 크랙버전을 설치하는 동영상을 올리고 하단에 다운로드 주소와 패스워드를 업로드 즉, 유튜브 영상 하단의 내용 설명란에 작성되어 있는 구글드라이브 다운로드 링크를 사용자가 클릭하여 암호가 걸린 파일을 다운로드합니다. 다운로드한 파일은 유료SW 크랙버전으로 사칭하고 있으며, 사용자가 악성코드 링크와 함께 기재된 패스워드를 암호로 입력하게 되면 압축이 풀리고 사용자는 랜섬웨어 감염에 노출됩..

악성코드 분석 리포트 2020. 3. 5. 16:12

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 국내에 Nemty 랜섬웨어를 유포하던 비너스락커 조직이 Nemty 랜섬웨어가 아닌 Makop 랜섬웨어를 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. ※ 관련글 바로가기 ▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03) ▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11..

악성코드 분석 리포트 2020. 3. 4. 15:43

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 코로나 19 바이러스 감염증 확진자 수치가 계속 증가하고 있고, 대중들의 관심과 공포가 집중되고 있는 상황에서 코로나(Corona) 바이러스 이슈를 노리고 'Corona Ransomware'(이하 코로나 랜섬웨어) 라는 명칭을 사용하는 랜섬웨어가 등장하여 주의가 필요합니다. 해당 랜섬웨어는 완전히 새로운 형태는 아니며, 2019년 11월 경에 유포된 바 있는 Hakbit 랜섬웨어의 변종으로 추정됩니다. 실제로 이번에 발견된 코로나 랜섬웨어는 Hakbit 랜섬웨어와 동작방식에서 여러모로 유사한 부분이 확인됩니다. 또한 랜섬노트의 경우, 이번 코로나 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯하여 요구하는 금액과 안내하는 비트코인 지불 사이트, 랜섬노..

악성코드 분석 리포트 2020. 3. 4. 07:30

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 유포중이던 Sodinokibi 랜섬웨어에 특이점이 발견되었습니다. 기존 Sodinokibi 랜섬웨어와 비교하면 이번에 확인된 Sodinokibi 역시 대동소이합니다. 일단 해당 Sodinokibi에 감염되면, 사용자PC에 저장된 특정 확장자 파일을 암호화하고 파일 확장자명을 기존 파일명 뒤에 일괄적으로 x35g0t03으로 붙여서 변경합니다. 또한 'Your files are encrypted !!!'라는 메시지를 포함한 푸른색 노이즈 이미지를 바탕화면으로 설정하는 동시에 x35g0t03-README-PLEASE라는 랜섬노트 파일을 띄웁니다. [그림 1] Sodinokibi에 감염되어 바탕화면 변경 및 랜섬노트 실행된 PC 화면 ※ 소디노키비(Sodin..

악성코드 분석 리포트 2020. 3. 3. 17:26