안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 모바일 악성코드는 매우 다양한 형태로 존재하며, 기기의 포함된 여러 정보를 탈취하거나 금융정보를 악용하여 재정적인 손실을 야기할 수 있습니다. 또한, 악성코드는 기기의 성능을 저하하거나 추가적인 악성코드를 설치하는 등 사용자에게 심각한 위험을 초래할 것입니다. 최근 인터넷상에서는 쇼핑몰로 위장하는 방법이 대두되고 있으며 [표 1]과 같은 문자들이 자주 발견되고 있습니다. No. 문자 내용 1 [국제발신][LF몰]결제완료 금액:711,000원 본인아닐시 피해구제센터 문의:xxxx-xxxx 2 [국제발신](주)메이시스 753.250원 승인번호(97685) 정상처리완료 고객센터050-xxxx- xxxx 3 -결제 완료 -물품 결제금액 -KRW 2,5..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 44CALIBER 악성코드는 2년전 러시아 개발자에 의해서 github에 소스가 공개된 것을 악성코드 제작자들이 소스 수정을 통하여 악성코드로 활용하고 있습니다. 주요 특징은 요즘 게이머들 뿐만 아니라 일반인들도 많이 사용하는 디스코드 메신저에서 제공하는 “Discord Webhook API”를 사용하여 사용자 크리덴셜 정보를 전송합니다. “Discord Webhook API”를 사용하면 디스코드 채널에 메시지 및 파일을 자동으로 올릴 수 있습니다. ‘44CALIBER’ 악성코드는 디스코드 메시저에서 제공하는 Webhook api를 사용하여 사용자 시스템의 크리덴셜 정보를 디스코드 채널로 전송받는 인포스틸러 악성코드입니다. 해당 악성코드는..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 게이밍 등의 목적으로 설계된 VoIP 소프트웨어 중 하나인 ‘디스코드(Discord)’의 채널의 첨부파일을 경유하여 최종적으로 ‘BluStealer’ 이름의 정보 탈취 계열의 악성코드(InfoStealer)가 지속적으로 발견되고 있습니다. 해당 악성코드는 PC 정보 및 주요 애플리케이션의 크리덴셜 정보를 탈취 및 전송하는 기능을 가지고 있습니다. ‘BluStealer’ 악성코드는 사용자 PC 정보 수집 및 정보 전송 기능을 가진 악성코드입니다. 이번 악성코드에서는 Discord를 C&C로 하는 다운로더가 사용된 점, 정보 수집 및 전송 기능이 분리되어 흐름이 진행된다는 점이 특징적입니다. 기업체에서 이러한 유형의 악성코드에 감염 혹은..

악성코드 분석 리포트 2022. 11. 25. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 스파이웨어는 피해자의 사생활을 면밀하게 감시하며 민감한 정보를 탈취하는 특징이 있습니다. 모바일 기기 사용환경이 실 생활에 매우 밀착되어 있기에 공격자들은 다양한 정보 획득 수단으로 스파이웨어를 활용하는 것입니다. 공격자들은 피해자들의 모바일 기기에 악성 앱을 설치하기 위해 피해자들이 선호하는 앱으로 위장하여 악성 앱을 유포하고 있습니다. 그리고 이렇게 수집한 정보들을 활용하여 금전 탈취 등의 수익활동을 하는 것입니다. 최근 발견된 이 악성 앱은 중동 국가를 대상으로 제작된 악성 앱으로 보이며 피해자의 개인 정보 탈취 등을 위한 스파이행위를 위해 제작되었습니다. 악성 앱은 “TextMe”라는 앱으로 위장하고 있으며 정상 앱은 40개국 정도에서 ..

악성코드 분석 리포트 2022. 11. 25. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 코로나 관련 대출 문자, 쇼핑몰 결제 문자, 택배 관련 문자 등등 온갖 스미싱으로부터 스마트폰을 보호하기 위해 보안 프로그램들을 사용하곤 합니다. 하지만 이를 악용하여 보안 프로그램들로 위장한 악성 앱도 등장하고 있습니다. 예전에 한 번 살펴본 폴 안티스파이부터 피싱 아이즈, 내 정보 지키미까지 여러 가지 버전이 존재합니다. 최근 공격 조직은 보이스피싱을 예방할 수 있는 앱인 시티즌 코난을 사칭하여 배포하고 있습니다. 스미싱 문자들이 점점 발전하면서 보안 프로그램도 강조되고 있습니다. 하지만 스미싱 공격 조직들은 이마저도 위장하여 사용자들을 속이고 있으며 점점 정교해진 형태로 발전되고 있습니다. 따라서 사용자는 공식 사이트를 이용하도록 하..

악성코드 분석 리포트 2022. 4. 25. 17:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2022년 3월경부터 특정 기업을 사칭한 악성 피싱메일이 다량으로 유포중에 있으며 이 분석문서를 작성하는 현재까지도 변종들이 계속해서 발견되고 있습니다. 해당 악성코드는 주로 MS 워드 문서로 위장하고 있으며 사용자가 내용을 확인하기 위하여 "콘텐츠 사용" 을 선택하면 VBA 매크로가 실행되어 서버에서 암호화된 페이로드를 다운로드 받아서 악성코드를 실행합니다. 악성행위의 확인을 어렵게 하기 위하여 최종 페이로드는 여러 단계의 확인을 거쳐서 실행됩니다. 해당 악성코드는 doc의 매크로를 이용하여 악성 파일을 다운로드 한 후 시스템 정보 전송 및 명령 제어 기능과 추가 페이로드를 다운로드 합니다. 사용자의 백신 타입을 확인하여 전송하고 윈도우..

악성코드 분석 리포트 2022. 4. 25. 17:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 구글 플레이 스토어를 통해 유포되는 악성 앱들이 꾸준히 발견되고 있습니다. 최근에는 구글 플레이 스토어를 통해 ‘Xenomorph”라 불리는 악성 앱이 유포되었습니다. 이 악성 앱은 피해자의 뱅킹 정보 탈취를 목적으로 제작되었습니다. 타겟은 유럽의 은행들을 이용하는 스마트폰 사용자들이며 뱅킹 정보를 탈취한 후 금전 획득을 위해 탈취한 정보를 활용합니다. Trojan.Android.Banker 공격은 금전 갈취가 주요 목적입니다. 이 악성 앱은 다른 악성 앱의 유포 방법은 공식 스토어인 구글 플레이 스토어를 통해 이루어지기에 피해자가 공격을 인지하기 더욱 어렵습니다. 그리고 공식 스토어를 통한 설치이기에 OS에서 제공하는 프로텍트 서비스도 ..

악성코드 분석 리포트 2022. 3. 22. 09:00