안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 유명 사이버 학습원에서 CK VIP Exploit을 통한 KRBanker 악성코드 유포가 확인되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트는 정상적인 스크립트 파일 내부에 악성 스크립트를 삽입하여 악성 URL로 연결 시키고 있습니다. [그림 1] 해당 사이트에 삽입 된 악성 스크립트 코드 화면 취약한 윈도우 및 소프트웨어를 사용 중인 사용자가 해당 사이트를 방문 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 10월 19일 09시에 해당 사이트에서 최초 악성코드가..

악성코드 분석 리포트 2018. 10. 19. 18:01

New Banking Trojan Poses As A Security Module 기존의 악성코드와는 다른 전략을 사용하는 새로운 뱅킹 악성코드가 발견 되었습니다. 이는 눈에 보이는 설치, 소셜 엔지니어링 컴포넌트를 추가했습니다. CamuBot은 지난 달 브라질에서 발견 되었으며, 공공 기업 및 조직을 노립니다. 피해자들은 은행 직원으로 위장한 공격자들의 지시에 따라 악성코드를 설치한 사람들입니다. 소셜 엔지니어링의 정석 이 악성코드는 은행의 로고와 브랜드 이미지를 사용해 보안 어플리케이션으로 위장합니다. IBM X-Force 연구 팀은 블로그를 통해 “CamuBot 운영자들은 공격을 실행하기 위해 특정 금융 기관과 거래하는 은행을 찾기 위한 정찰을 시작했습니다. 그런 다음, 기업의 은행 계좌 크리덴셜을..

국내외 보안동향 2018. 9. 6. 11:42

Banking Trojans and Shady Apps Galore In Google Play 구글이 안드로이드의 공식 스토어를 보호하기 위해 많은 보안 장치를 해 두었음에도, 보안 연구원들이 또다시 악성 앱 3개를 발견했습니다. 최근 유럽의 여러 보안 업체들이 구글 플레이에서 뱅킹 트로이목마를 발견했다고 트위터에서 밝힌 적 있습니다. ESET의 연구원인 Lukas Spefanko는 별자리 운세앱으로 위장한 악성 앱 3개를 발견했다고 밝혔습니다. 이 앱들은 SMS와 전화 기록을 탈취하고, 피해자의 이름으로 텍스트 메시지를 보내고, 사용자 허가 없이 앱을 다운로드 및 설치 하고, 금융계정을 훔치는 것으로 나타났습니다. Stefanko는 이를 구글에 제보했으며, 구글은 스토어에서 이 앱들을 삭제했습니다. 삭..

국내외 보안동향 2018. 9. 4. 16:44

New Version of the Kronos Banking Trojan Discovered 보안 연구원들이 Kronos 뱅킹 트로이목마의 새로운 버전이 활동을 시작했다고 밝혔습니다. 그들은 2014년 전성기였던 이 트로이목마의 개량 된 버전을 퍼뜨리는 캠페인 최소 3개를 발견했다고 말했습니다. Proofpoint의 연구원들에 따르면, 새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견 되었습니다. 초기 샘플들은 테스트로 보였으나, 실제 캠페인은 6월 말부터 시작 되었습니다. 연구원들은 이 시기부터 이 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었습니다. 독일, 일본, 폴란드를 노래는 캠페인 Proofpoint는 독일, 일본, 폴란드의 은행 사용자들을 노리는..

국내외 보안동향 2018. 7. 27. 10:30

Source Code for Exobot Android Banking Trojan Leaked Online 최신 안드로이드 뱅킹 트로이목마의 소스코드가 온라인에 유출 되었으며, 악성 코드 커뮤니티에서 급속도로 퍼져나가고 있습니다. 이에 연구원들은 새로운 악성코드 캠페인이 곧 발생할 것을 우려하고 있습니다. 이 악성코드의 이름은 Exobot이며, 2016년 말에 처음 발견 된 안드로이드 뱅킹 트로이목마입니다. 이 악성코드의 제작자들은 올해 1월 이 소스코드를 판매용으로 내놓았습니다. 운영이 거듭됨에 따라, 악성코드 제작자들은 이 악성코드를 월간/주간 서비스 형태로 판매했습니다. 이러한 형태는 MaaS(Malware-as-a-Service) 또는 CaaS(Cybercrime-as-a-Service)라 부릅니..

국내외 보안동향 2018. 7. 24. 16:07

BackSwap Trojan implements new techniques to steal funds from your bank account 보안 연구원들이 뱅킹 악성코드인 BackSwap의 새로운 변종을 발견했습니다. 이는 은행 고객들의 돈을 훔치기 위한 새로운 기술을 구현했습니다. 이 새로운 기술은 중간자 공격을 실행하기 위해 백신 및 브라우저의 보안 기능들을 우회합니다. 뱅킹 악성코드는 사용자가 은행 계좌에 접근 했을 때, 직접 또는 브라우저의 JavaScript 콘솔을 통해 악성코드를 주입합니다. 인젝션 메커니즘은 Dridex, Ursnif, Zbot, Trickbot, Qbot 등과 같은 뱅킹 악성코드에서 가장 널리 사용 되는 기술입니다. 최신 백신 제품들은 프로세스 인젝션 활동을 탐지해 이를..

국내외 보안동향 2018. 5. 30. 11:06

Cybercriminals Hijack Router DNS to Distribute Android Banking Trojan 보안 연구원들이 현재 진행중인 악성코드 캠페인에 대해 경고했습니다. 이 캠페인은 사용자의 중요한 정보, 로그인 계정, 이중 인증을 위한 비밀 코드를 훔치는 안드로이드 뱅킹 악성코드를 배포하기 위해 인터넷 라우터를 하이잭 하는 것으로 나타났습니다. 사용자들이 Roaming Mantis라 명명 된 안드로이드 악성코드를 설치하도록 속이기 위해, 해커들은 취약하거나 보안이 허술한 라우터의 DNS 세팅을 하이잭 해 온 것으로 드러났습니다. 해커들은 DNS 하이재킹 공격을 통해 트래픽에 인터셉트하고, 웹 페이지에 악성 광고를 삽입하고 사용자들을 로그인 계정, 은행 계좌 정보 등과 같은 중요한..

국내외 보안동향 2018. 4. 17. 11:50

유명 해킹 커뮤니티에서 고도로 진화된 안드로이드 뱅킹 트로이목마의 소스코드가 판매되고 있습니다. 엑소봇(Exobot)이라 불리는 이 악성코드는 2016년 6월 처음 등장한 안드로이드 악성코드 입니다. 이 악성코드 역시 최신 뱅킹 악성코드처럼 달 단위로 임대가 가능합니다. 구매자들은 이 악성코드 소스코드에 대한 접근권한을 갖고있지는 않지만, 엑소봇의 구성 패널을 이용하여 커스터마이징이 가능합니다. 그 후 각자의 공격방법을 이용하여 악성앱을 유포합니다. 엑소봇은 지난 2년간 뱅크봇, GM봇, 마자르(Mazar), 레드얼럿(Red Alert) 등과 더불어 공격을 가장 활발히 수행한 안드로이드 악성코드입니다. 처음에는 일부 보안 기업에서 해당 악성코드를 마처(Marcher)라고 불렀으나, 결국에는 많은 사람이 ..

국내외 보안동향 2018. 1. 18. 15:42