안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Stealc 악성코드는 이름에서 알 수 있듯이 인포스틸러(Infostealer) 악성코드로 2023년 상반기 처음으로 등장했습니다. 하지만 Vidar, Raccoon, Redline 악성코드와 같은 방식으로 추가 악성 행위를 위해 필요한 추가 라이브러리 파일을 다운로드 받아 사용하고 있습니다. Stealc는 시스템 정보, Outlook, 특정 브라우저, 메신저 프로그램 등 데이터를 수집하여 탈취하는 기능을 가지고 있으며, 수집된 정보를 탈취한 후 악성 파일과 추가 라이브러리 파일을 삭제하여 흔적을 지웁니다. Stealc 악성코드는 브라우저, 디스코드, 텔레그램, 메일 등에서 사용자 정보를 탈취할 수 있습니다. 또한, 문자열 난독화, Ant..

악성코드 분석 리포트 2023. 10. 26. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 금융 기업 및 보험사를 위장한 악성 CHM 파일이 RAR 형식으로 압축되어 유포되고 있습니다. 이러한 CHM 파일 내부에는 악성 스크립트가 포함된 HTML 파일이 존재하며, 사용자가 CHM 파일을 실행하면 정상 파일처럼 위장한 [그림 1]과 같이 본문 내용을 보여주지만 백그라운드에서는 악성 행위를 수행합니다. 이번 보고서에서는 ‘윈도우 도움말 파일(*.chm) 악성코드’ 에 대해 분석해 보도록 합니다. 윈도우 도움말 파일(*.chm)을 이용한 악성코드는 사용자의 정보를 탈취하고 시스템 정보 및 웹 브라우저 정보를 탈취하는 인포스틸러 악성코드입니다. 이러한 형태의 공격은 사용자의 화면에 정상 이미지와 텍스트를 보여줌으로써, 사용자..

악성코드 분석 리포트 2023. 8. 25. 09:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2023년 상반기 발견된 "Money Message" 랜섬웨어는 해외 기업을 공격한 것으로 알려져 있습니다. 해당 랜섬웨어는 실행시 CMD창을 띄우고 암호화를 진행하지만 암호화 후에는 확장자가 변경되지 않기 때문에 사용자가 바로 인지하기가 어려움이 있으며, Bangladesh Airlines이 속해있는 도메인 정보가 하드코딩되어 들어있습니다. 따라서 본 보고서에서는 “Money Message” 랜섬웨어에 대해 상세 분석하고자 합니다. Money Message 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 해당 악성코드는 자신의 감염 동작을 CMD창에 띄워 사용자에게 알려주고, 하드코딩된 로그인 크리덴셜을 이용..

악성코드 분석 리포트 2023. 8. 25. 09:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ‘Trojan.SmokeLoader’(이하 ‘SmokeLoader’) 악성코드는 13년도부터 제작된 것으로 알려져 있고, 현재까지도 랜섬웨어 외 다양한 악성코드 등을 전달하면서 활발한 활동을 이어져 오는 것으로 알려져 있습니다. ‘SmokeLoader’은 주요하게 다양한 Anti 기능과 더불어, 감염 PC의 정보를 수집 및 C&C 서버의 명령을 통해 추가 페이로드를 다운로드 받는 로더로서의 기능을 수행합니다. 본 보고서에서는 ‘SmokeLoader’ 악성코드에 대해 상세 분석을 하고자 합니다. `SmokeLoader’는 정보 수집 및 추가 페이로드를 다운로드하는 Loader 계열의 악성코드입니다. 다른 악성코드에 비해 다양한 Anti-VM..

악성코드 분석 리포트 2023. 7. 24. 13:56

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 모바일 악성코드는 매우 다양한 형태로 존재하며, 기기의 포함된 여러 정보를 탈취하거나 금융정보를 악용하여 재정적인 손실을 야기할 수 있습니다. 또한, 악성코드는 기기의 성능을 저하하거나 추가적인 악성코드를 설치하는 등 사용자에게 심각한 위험을 초래할 것입니다. 최근 인터넷상에서는 쇼핑몰로 위장하는 방법이 대두되고 있으며 [표 1]과 같은 문자들이 자주 발견되고 있습니다. No. 문자 내용 1 [국제발신][LF몰]결제완료 금액:711,000원 본인아닐시 피해구제센터 문의:xxxx-xxxx 2 [국제발신](주)메이시스 753.250원 승인번호(97685) 정상처리완료 고객센터050-xxxx- xxxx 3 -결제 완료 -물품 결제금액 -KRW 2,5..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 44CALIBER 악성코드는 2년전 러시아 개발자에 의해서 github에 소스가 공개된 것을 악성코드 제작자들이 소스 수정을 통하여 악성코드로 활용하고 있습니다. 주요 특징은 요즘 게이머들 뿐만 아니라 일반인들도 많이 사용하는 디스코드 메신저에서 제공하는 “Discord Webhook API”를 사용하여 사용자 크리덴셜 정보를 전송합니다. “Discord Webhook API”를 사용하면 디스코드 채널에 메시지 및 파일을 자동으로 올릴 수 있습니다. ‘44CALIBER’ 악성코드는 디스코드 메시저에서 제공하는 Webhook api를 사용하여 사용자 시스템의 크리덴셜 정보를 디스코드 채널로 전송받는 인포스틸러 악성코드입니다. 해당 악성코드는..

악성코드 분석 리포트 2022. 12. 21. 14:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 게이밍 등의 목적으로 설계된 VoIP 소프트웨어 중 하나인 ‘디스코드(Discord)’의 채널의 첨부파일을 경유하여 최종적으로 ‘BluStealer’ 이름의 정보 탈취 계열의 악성코드(InfoStealer)가 지속적으로 발견되고 있습니다. 해당 악성코드는 PC 정보 및 주요 애플리케이션의 크리덴셜 정보를 탈취 및 전송하는 기능을 가지고 있습니다. ‘BluStealer’ 악성코드는 사용자 PC 정보 수집 및 정보 전송 기능을 가진 악성코드입니다. 이번 악성코드에서는 Discord를 C&C로 하는 다운로더가 사용된 점, 정보 수집 및 전송 기능이 분리되어 흐름이 진행된다는 점이 특징적입니다. 기업체에서 이러한 유형의 악성코드에 감염 혹은..

악성코드 분석 리포트 2022. 11. 25. 09:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 스파이웨어는 피해자의 사생활을 면밀하게 감시하며 민감한 정보를 탈취하는 특징이 있습니다. 모바일 기기 사용환경이 실 생활에 매우 밀착되어 있기에 공격자들은 다양한 정보 획득 수단으로 스파이웨어를 활용하는 것입니다. 공격자들은 피해자들의 모바일 기기에 악성 앱을 설치하기 위해 피해자들이 선호하는 앱으로 위장하여 악성 앱을 유포하고 있습니다. 그리고 이렇게 수집한 정보들을 활용하여 금전 탈취 등의 수익활동을 하는 것입니다. 최근 발견된 이 악성 앱은 중동 국가를 대상으로 제작된 악성 앱으로 보이며 피해자의 개인 정보 탈취 등을 위한 스파이행위를 위해 제작되었습니다. 악성 앱은 “TextMe”라는 앱으로 위장하고 있으며 정상 앱은 40개국 정도에서 ..

악성코드 분석 리포트 2022. 11. 25. 09:00