안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

[2월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 전 x기억나q세p요? 동창j인데n요 여기a에 같r이 찍은사e진 있어요 2 69710_28521를 수취불가상태입니다.주소지확인 출처 : 알약M기간 : 2018년 2월 12일 ~ 2월 16일

안전한 PC&모바일 세상/스미싱 알림 2018. 2. 22. 18:07

최근 Intel은 Skylake, Kaby Lake, Coffee Lake 및 관련 CPU에 대한 Spectre 패치를 공개하였습니다. 이번 패치는 CVE-2017-5717 취약점인 Spectre취약점(▶ 자세히보기)에 대한 패치입니다. Spectre 취약점은 악성 JavaScript 프로그램을 이용하여 브라우저 메모리에 있는 사용자의 로그인 쿠키를 탈취할 수 있는 등 매우 쉽게 악용할 수 있습니다. 이번에 Intel이 공개한 마이크로코드 패치는 안정화된 버전으로, 즉 기존에 여러 플랫폼에서 발생하였던 이슈들을 모두 해결한 버전입니다. 몇주 전, Intel에서 Skylake CPU에 대한 마이크로 패치를 공개하였으며, 현재는 Kaby, Coffee lake 및 기타 CPU에 대해서도 동일한 패치를 업데이..

국내외 보안동향 2018. 2. 22. 16:54

All Ledger hardware wallets vulnerable to man in the middle attack 최근 가상화폐 하드웨어 지갑 "렛저(Ledger)"에서 취약점이 발견되었습니다. 범죄자들은 이미 해당 취약점을 이용하여 Ledger 사용자에게 피싱 사이트가 포함된 지갑 주소를 전달하여 지갑에 보관되어 있는 가상화폐를 탈취하고 있는 것으로 확인되었습니다. 하드웨어지갑은 가상화폐를 저장하기 위한 가장 안전한 수단으로 각광받고 있습니다. 하지만 이번의 발견된 Ledger의 취약점은 하드웨어 지갑이라도 가상화폐에 대한 안전을 보장할 수 없다는 점을 증명해 주었습니다. 2월 3일, Ledger은 공식 홈페이지를 통해 설계상의 문제가 있음을 밝혔으며, 이번 취약점에 대한 상세 내용을 보고서 형태..

국내외 보안동향 2018. 2. 22. 16:18

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28

Coldroot RAT cross-platform malware targets MacOS without being detected 콜드루트(Coldroot) RAT는 MacOS를 타겟으로 하는 크로스플랫폼 악성코드 입니다. 이 악성코드는 High Sierra 이전 버전의 MacOS 시스템에서 키로거로 동작하며 사용자의 비밀번호와 인증 정보를 탈취합니다. 하지만 현재 백신으로는 탐지가 불가합니다. 콜드루트 RAT에 대해 2017년 1월 언더그라운드 마켓에 상세 분석 자료가 공개되었고, 일부 버전은 깃허브에서 거의 2년 동안 판매되고 있습니다. 보안 전문가 Wardle에 따르면, 이 악성코드는 애플 오디오 드라이버 “com.apple.audio.driver2.app”로 위장하고 있으며, 클릭하면 사용자에게 ..

국내외 보안동향 2018. 2. 21. 14:03

Hackers use Google Ads to steal $50 million of Bitcoin Talos는 보고서에서, 우크라이나 해커조직인 Coinhoarder이 가상화폐 지갑인 Blockchain.info를 탈취하여 5000만달러가 넘는 가상화폐 수익을 얻었다고 밝혔습니다. 이 보고서에서는 해커들이 사용한 공격방식을 소개하였는데, 그 방식은 매우 간단하였습니다. 해커가 구글 검색엔진 중, 가상화폐와 관련된 키워드 광고를 구매한 후, 사용자들의 검색결과를 감염시켜 사용자들의 가상화폐 지갑 내 자산을 탈취합니다. 이는 즉, 사람들이 Google에서 "블록체인" 혹은 "가상화폐 지갑"등 키워드를 검색할 때, 정상적인 홈페이지를 위장한 악성 홈페이지의 링크를 보게되는 것입니다. 악성링크들은 “blockc..

국내외 보안동향 2018. 2. 20. 15:06

해킹그룹이 젠킨스(Jenkins) 서버에 “JenkinsMiner”라 불리는 모네로 채굴 악성코드를 설치하여 3백40만 달러를 탈취한 사실이 밝혀졌습니다. 해커들은 여러 버전의 윈도우에서 XMRig 채굴 악성코드를 실행시켜 모네로 3백만 달러 이상을 탈취하였으며, 강력한 젠킨스 CI(Continuous Integration) 서버를 대상으로 공격을 수행함으로써 보다 많은 암호 화폐를 획득할 수 있었다고 덧붙였습니다. 젠킨스 서버는 가장 인기있는 오픈소스 자동화 서버로서 CloudBees와 젠킨스 커뮤니티를 통해 관리됩니다. 젠킨스는 개발자들에게 젠킨스 애플리케이션의 빌드, 테스트, 배포를 지원하고, 전 세계 적으로 133,000개 이상의 서버와 백만명 이상의 사용자를 보유하고 있습니다. 연구원들에 따르면..

국내외 보안동향 2018. 2. 19. 17:12