안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지속적으로 상품, 주문, 화물과 같은 무역 관련 내용이 담긴 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 악성 메일은 바이어로서 상품 구매를 희망한다는 내용으로, 상품 리스트로 위장한 악성 파일의 실행을 유도합니다. [그림 1] 상품 구매 희망을 원하는 내용으로 위장한 악성 메일 이용자가 무심결에 첨부 파일 '60278411.DOC'를 실행할 경우, 상품 관련 내용이 아닌 아무런 의미가 없는 텍스트만 보여줍니다. [그림 2] 의미 없는 내용이 담긴 '60278411.DOC' 악성 파일 하지만 'EQNEDT32.exe' 프로세스에서 MS-Office 취약점(CVE-2017-11882)에 의해 'http://sulrev..

악성코드 분석 리포트 2018. 7. 19. 14:02

안녕하세요? 이스트시큐리티입니다. 최근 다양한 랜섬웨어가 지속적으로 유포되고 있는 가운데 2017년 9월에 활동했던 Paradise 랜섬웨어 변종이 새롭게 발견되었습니다. 이번에 발견된 Paradise 랜섬웨어는 기존과 마찬가지로 사용자의 중요 파일을 암호화하고 파일 확장자를 .paradise로 변경합니다. 시스템 운영에 필요한 일부 파일을 제외하고 확장자 상관없이 모든 파일을 암호화하기 때문에 감염되면 큰 피해를 입을 수 있으므로 사용자의 주의가 필요합니다. 따라서 본 보고서에서는 새롭게 발견된 Paradise 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 시스템 언어 및 국가 코드 확인 Paradise 랜섬웨어는 감염될 사용자 PC의 시스템 언어와 IP주소 대역의 국가 코드를 확인하여 ..

악성코드 분석 리포트 2018. 7. 19. 08:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 수입 세금 계산서로 위장한 악성 메일을 통해 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ 지속적으로 국내에 유입되는 배송 위장 악성 메일 주의 수입 세금 계산서로 위장한 악성 메일은 모두 동일한 내용을 가지고 있으며, 동일한 첨부 파일 'Tax_Invoice_1308182689,pdf.ace'을 실행하도록 유도합니다. [그림 1] 수입 세금 계산서 안내 악성 메일 (1) [그림 2] 수입 세금 계산서 안내 악성 메일 (2) 상기 해당 메일들에 첨부된 파일 'Tax_Invoice_1308182689,pdf.ace'에는 'Tax_Invoi..

악성코드 분석 리포트 2018. 7. 13. 14:17

Stolen D-Link Certificate Used to Digitally Sign Spying Malware 악의적인 의도를 숨기기 위해 디지털 서명 된 악성코드는 최근 몇 년 동안 더욱 흔해지고 있습니다. 보안 연구원들이 D-Link를 포함한 대만의 기술 회사들로부터 훔친 유효한 디지털 인증서를 악용하는 새로운 악성코드 캠페인을 발견했습니다. 이들은 자신의 악성코드를 훔친 인증서로 서명해 합법적인 소프트웨어로 보이도록 했습니다. 신뢰할 수 있는 인증 기관(CA)에서 발행 된 디지털 인증서는 컴퓨터 프로그램 및 소프트웨어를 암호학적으로 서명해 사용자 컴퓨터에서 실행 되었을 때 경고 메시지를 표시하지 않고도 신뢰하고 실행될 수 있도록 합니다. 하지만, 악성코드 제작자와 해커들은 보안 솔루션들을 우회하..

국내외 보안동향 2018. 7. 10. 17:49

Most LokiBot samples in the wild are "hijacked" versions of the original malware 한 보안 연구원이 실제로 배포 되고 있는 LokiBot 악성코드의 샘플들 대부분이 오리지널 샘플의 수정 된 버전이라고 밝혔습니다. 2015년부터 사용자들을 공격해온 LokiBot은 다양한 웹 브라우저, FTP, 포커 및 이메일 클라이언트, PuTTY와 같은 IT 관리 툴의 크리덴셜을 훔치는 패스워드 및 가상 코인 지갑 스틸러입니다. 오리지널 LokiBot 악성코드는 온라인 예명 "lokistov"(Carter로도 알려짐)를 사용하는 개발자가 개발했으며, 언더그라운드 해킹 포럼 다수에서 최대 $300에 판매했습니다. 하지만 다크웹의 다른 해커가 더 저렴한 가격($..

국내외 보안동향 2018. 7. 9. 17:24

[7월 첫째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 고객님 휴대폰으로 49000원이 결제처리되였습니다 본인아닐시 즉시 신고2 법원 소송내역입니다 출처 : 알약M기간 : 2018년 6월 30일 ~ 7월 6일

안전한 PC&모바일 세상/스미싱 알림 2018. 7. 6. 14:31

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 화물 운송 문의로 위장한 악성메일로 정보 탈취 목적의 악성코드가 국내에 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드 주의 이번에 발견된 악성 메일은 화물 운송 문의 내용이 담겨 있으며, 특징적으로 FOB, CIF와 같은 무역 용어가 사용되었습니다. [그림 1] 화물 운송 문의로 위장한 악성 메일 메일에 첨부된 파일 'Quote001993842.ace'에는 'Quote001993842.com'가 있습니다. [그림 2] 첨부 파일 'Quote001993842.ace' 이용자가 만일 'Quote001993842.com' 악성 PE 파일을 실행할 경우 사용자 PC 정보와 함께 ..

악성코드 분석 리포트 2018. 7. 5. 11:44

안녕하세요? 이스트시큐리티입니다. 몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.본 분석 보고서에서는 ‘Trojan.Android.InfoStealer’를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 유명 앱 사칭사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용합니다. [그림 1] 유명 앱 사칭 2. 권한 요구사용자 기기의 SDK 버전을 확인하고, 그 버전이 23..

악성코드 분석 리포트 2018. 6. 21. 11:41