New FFDroider malware steals Facebook, Instagram, Twitter accounts 브라우저에 저장된 크리덴셜과 쿠키를 훔치고 피해자의 소셜 미디어 계정을 탈취하는 새로운 인포스틸러인 FFDroider가 발견되었습니다. 소셜 미디어 계정, 특히 인증된 계정은 공격자가 가상 화폐 사기 및 악성코드 배포를 포함한 다양한 공격에 사용할 수 있기 때문에 해커들에게 인기가 많습니다. 이러한 계정은 소셜 사이트의 광고 플랫폼에 접근할 수 있을 경우 공격자가 훔친 크리덴셜을 통해 악성 광고를 게시할 수 있기 때문에 훨씬 더 매력적입니다. 소프트웨어 크랙 통해 배포돼 Zscaler의 연구원들은 새로운 인포 스틸러를 추적하던 중 최근 샘플을 기반으로 한 자세한 기술 분석을 발표했습니다..

국내외 보안동향 2022. 4. 7. 09:00

Google: YouTubers’ accounts hijacked with cookie-stealing malware 구글이 금전적 이득을 노리는 공격자가 비밀번호 탈취 악성코드를 사용하는 피싱 공격을 통해 유튜브 크리에이터를 노리고 있다고 경고했습니다. 2019년 말 이 캠페인을 처음 발견한 Google TAG(Threat Analysis Group)의 연구원들은 이 공격의 배후에 러시아어 포럼 내 구인 광고를 통해 모집된 여러 공격자가 있음을 발견했습니다. 공격자는 소셜 엔지니어링(가짜 소프트웨어 랜딩 페이지 및 소셜 미디어 계정) 및 피싱 이메일을 사용하여 공격자가 선택한 정보 탈취 악성코드로 유튜브 크리에이터를 감염시켰습니다. Pass-the-cookie 공격에 하이재킹된 채널 이 공격에서 관찰된..

국내외 보안동향 2021. 10. 21. 14:00

15B credentials available on dark web; average selling price below $16 다크 웹에서 크리덴셜 150억 건 이상이 판매 중이거나 무료로 공개된 것으로 나타났습니다. 크리덴셜 하나당 책정된 평균 가격은 15.43 달러였습니다. 여러 다크 웹에서 광고 중인 계정 크리덴셜을 2년 반 정도 추적 및 분석해온 Digital Shadows에 따르면 이 중 약 1/3인 50억 크리덴셜이 고유한 것으로 나타났습니다. 다양한 크리덴셜의 유형 중 은행 및 금융 관련 계정의 패스워드가 가장 비쌌습니다. 이 정보는 다크 웹에서 평균 가격 70.91 달러로 판매되고 있었으며 일부는 500달러 이상으로 책정되었습니다. 기업 계정 탈취(ATO)를 위해 관리자 크리덴셜을 찾고 있..

국내외 보안동향 2020. 7. 9. 14:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 들어 기업 담당자의 계정을 노리는 피싱 메일들이 다양한 형태로 변화되고 있으며, 개인정보 수집(로그인 정보)을 목표로 하고 있기 때문에 기업 사용자들의 주의가 필요합니다. 기업 담당자의 계정을 노리는 피싱 메일들은 발주, 견적, 구매 등 업무와 관련된 내용 또는 메일의 용량 초과, 비밀번호 변경, 계정 차단, 비로그인 활동 등의 경고성 메일로 구분할 수 있습니다. [그림 1] 발주, 견적, 구매 등 업무 관련 피싱 이메일 [그림 2] 용량 초과, 계정 차단 등 경고 관련 피싱 이메일 다양한 피싱 메일들은 기업 담당자들의 계정 탈취가 목적이기 때문에 본문에 기재된 링크나 첨부 파일 실행 시, 계정과 패스워드를 입력하는 로그인 페이지로 이동합..

악성코드 분석 리포트 2020. 6. 26. 13:52

Microsoft Teams patched against image-based account takeover 보안 연구원들이 마이크로소프트 팀즈(Microsoft Teams)를 통해 사용자에게 일반 GIF 이미지를 보내 계정을 탈취할 수 있는 취약점을 발견했습니다. 이 취약점을 악용할 경우 팀즈 데스크톱 및 웹 버전에서 한 번에 여러 계정에 접근하고 대화와 스레드를 탈취할 수 있었습니다. 공격의 주요 조건은 teams.microsoft[.]com 아래 하위 도메인을 제어하는 것이며, 연구원들은 두 가지 선택권이 있었습니다. 마이크로소프트는 해당 취약점에 대한 제보를 받아 공격을 방지하기 위해 완화 조치를 취했습니다. 쿠키 인증 CyberArk의 보안 연구원들은 블로그를 통해 마이크로소프트 팀즈에서 이미지..

국내외 보안동향 2020. 4. 28. 14:30

GitHub accounts stolen in ongoing phishing attacks 공격자들이 GitHub의 로그인 페이지와 유사한 랜딩 페이지를 이용하는 피싱 캠페인을 통해 GitHub 사용자를 노리고 있는 것으로 나타났습니다. 이들은 사용자의 계정을 탈취할 뿐만 아니라 그들의 개인 저장소, 조직에 속한 계정 및 기타 공동 작업물 등의 내용을 즉시 다운로드하는 것으로 나타났습니다. GitHub의 보안 사고 대응팀(SIRT)는 공격자는 GitHub 사용자 계정 정보를 손에 넣는데 성공할 경우 사용자가 암호를 변경할 경우에도 계속해서 액세스하기 위해 즉시 GitHub 개인 액세스 토큰을 생성하거나 해당 계정의 OAuth 애플리케이션을 인증할 것입니다라고 밝혔습니다. GitHub의 SIRT는 Sawf..

국내외 보안동향 2020. 4. 20. 15:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 수신자 은행 계좌번호가 변경되었음을 알리는 허위 안내서로 사용자의 계정을 노리는 금융 피싱 메일이 발견되고 있어 사용자들의 주의가 필요합니다. [그림 1] 은행 계좌 번호 변경 제목으로 유포된 이메일 화면 해당 메일은 수신자 은행 계좌번호가 변경되었음을 알리는 안내서를 첨부 파일로 추가했습니다. 만약 사용자가 해당 첨부 파일을 다운로드하여 압축 해제하고 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있습니다. [그림 2] 첨부파일 내부 화면 해당 계정 피싱 메일을 받은 사용자가 은행 계좌번호 변경 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행하면 국내 포털 사이트를 가장한 로그인 화면으로 이동됩니다. [그림 3] 첨부 파일 실..

악성코드 분석 리포트 2020. 3. 6. 13:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 비영리 기관의 계정을 노리는 계정 피싱 메일이 급증하고 있어 사용자들의 주의가 필요합니다. 해당 메일들은 수신자 메일 계정의 비정상적인 상태를 알리며 로그인을 하도록 사용자의 클릭을 유도하는 방식을 사용하고 있습니다. [그림 1] 계정 이상 관련 제목으로 유포 된 이메일 화면 해당 계정 피싱 메일을 받은 사용자가 본인 메일 이상 확인을 위해 본문에 기재된 링크를 클릭할 경우 메일 로그인 화면으로 이동하게 됩니다. [그림 2] 본문 링크 클릭 시 메일 로그인 화면 계정 피싱 타깃이 된 사용자는 본인 회사 사이트로 착각하여 로그인 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다. 전송된 개인 정보 항목과 도메인 정보..

악성코드 분석 리포트 2020. 2. 29. 08:30