안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ‘Spyware.Ursnif’(이하 ‘Ursnif’) 악성코드는 ‘Gozi,’Dreambot’라는 이름의 뱅킹 트로이목마로 알려져 있습니다. 해당 악성코드는 메일 내 첨부된 Microsoft Office 악성 문서 파일에서 유포되는 것으로 알려져 있습니다. 본 악성코드는 C&C로 정보 전송 및 추가 페이로드 실행 기능이 있으며, 페이로드의 명령 제어 기능에 따라 OS 파괴, 추가 DLL 실행 등이 있어서 공격자 의도에 따라 이용자의 피해가 발생할 수 있습니다. 만일 기업에서 이 악성코드에 감염될 경우, 추가 악성코드 다운로드나 사용자 정보 탈취 등에 의해 정보 유출 및 시스템 파괴로 이어지는 피해가 발생할 수 있어 주의가 필요합니다. 특히..

악성코드 분석 리포트 2021. 3. 17. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 발주서 파일로 위장하여 “NAVER WORKS(네이버 웍스)” 계정 탈취를 목적으로 발송되는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “[플***] - (발주서 송부의 건)”라는 제목으로 수신되었으며, 특정 업체명을 도용해 실제 기업에서 발송한 것처럼 위장했습니다. 사용자가 메일에 포함된 첨부파일을 실행하면 사용자 정보를 탈취하는 전형적인 “스피어 피싱” 방식입니다. 사용자가 발주서 내용 확인을 위해 첨부된 파일을 다운로드하여 실행할 경우, 브라우저를 통해 “NAVER WORKS” 계정과 패스워드를 가로채기 위한 피싱 페이지로 연결됩니다. 첨부된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 [플***]..

악성코드 분석 리포트 2021. 3. 11. 17:22

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 비트코인, 이더리움 등 암호화폐의 가격이 급등함에 따라 세계 최대 암호화폐 거래소 바이낸스 이용자들의 계정 정보를 노리는 피싱사이트가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견 된 바이낸스 피싱사이트는 정상 사이트와 매우 흡사하게 만들어졌기 때문에 사용자가 확인하지 않는다면 쉽게 개인정보를 입력할 수 있습니다. 사용자가 바이낸스 피싱 페이지에 접속 계정과 패스워드 정보를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 이후 정지 된 계정이라 허위정보를 알려주며 한번 더 패스워드 입력을 받는 사이트로 이동하게 됩니다. 이번에 제작된 피싱 사이트는 사용자의 계정 / 패스워드 뿐만 아니라 IP주소, 접속 시간 등이 전달되며 전송된 개인 정보 ..

악성코드 분석 리포트 2021. 2. 19. 16:50

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2018년 5월 해외에서 활동하는 뱅킹/인포스틸러 악성코드로 Danabot이 처음 등장했습니다. 이 악성코드는 매년 코드를 업그레이드하며 버전 3까지 출현한 것으로 알려졌습니다. 그 뒤로 자취를 감춘 Danabot은 최근 다시 활동하기 시작했습니다. 해당 악성코드는 감염된 PC를 통해 사용자 개인 정보를 공격자 서버 C&C로 전송합니다. 따라서 과거부터 진행되어 왔던 공격이니 만큼 사용자들이 사용하는 크리덴셜 정보(로그인 정보, 개인 신상 정보 등)들이 공격자에게 노출될 수 있어 주의가 필요합니다. ‘Trojan.Agent.Danabot’은 C&C에 사용자 PC 정보, 브라우저 사용자 정보, 히스토리 정보, FTP, Mail, 메신저 정보..

악성코드 분석 리포트 2021. 2. 18. 16:42

안녕하세요? 이스트시큐리티입니다. 어느덧 일주일이나 지나간 2월, 우리 민족 최대의 명절 중 하나인 설 연휴가 다가오고 있습니다. 사용자 여러분 모두 행복한 설 연휴 보내시길 바랍니다. 이번 설 연휴에는 5인 이상 집합 금지가 연장되면서 친인척과 모이기보다 집에 머물러 있는 사람들이 많을 것으로 예상됩니다. 하지만 이러한 ‘집콕족’이 해커들의 먹잇감이 되고 있는데요. 코로나19 이후 외출 대신 무료한 일상을 달랠 수 있는 콘텐츠 관람 활동이 온라인으로 옮겨가며 해커들의 활동 빈도가 늘고 있습니다. 한국인터넷진흥원(KISA)가 최근 발간한 ‘2020년 하반기 악성코드 은닉사이트 탐지 동향 보고서’에 따르면, 유명 콘텐츠를 무료로 내려받을 수 있는 것처럼 사용자를 현혹해 악성코드를 감염시키는 사례가 지속적으..

안전한 PC&모바일 세상/PC&모바일 TIP 2021. 2. 9. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 발견된 표적형 피싱 메일에서 모스(Morse) 코드를 이용한 난독화 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “ideafimit Revenue_payment_invoice February_Wednesday 02032021”라는 제목으로 수신되었으며, Excel 형태의 견적서처럼 보이는 방식으로 이름이 생성된 HTML 파일이 첨부되어 있습니다. 사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 수신자의 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저를 통해 연결됩니다. 첨부된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 ideafimit_invoice_1308._xslx.htm..

악성코드 분석 리포트 2021. 2. 8. 15:28

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 견적 요청 관련으로 국내 유명 포털사이트 계정을 노리는 피싱 메일이 발견되어 사용자의 주의가 필요합니다. 이번에 발견된 메일은 “FW: 견적 요청 (REF # 19117030P)”라는 제목으로 수신되었으며 본문에는 아무런 내용이 없고 견적서로 위장된 HTML 파일만 첨부되어 있습니다. 사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 국내 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다. 첨부 된 파일의 대한 정보는 다음과 같습니다. 첨부 파일명 알약 탐지명 Inquiry PR11020204168.xlsx.htm Trojan.HTML.Phish 사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할..

악성코드 분석 리포트 2021. 1. 28. 15:02

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 ‘Spyware.AgentTesla’(이하 ‘AgentTesla’) 악성코드가 국내 기업을 대상으로 무역 관련 내용의 악성 메일로 유포되고 있습니다. 메일 첨부 파일에 있는 ‘New Inquiry #20004546.gz’ 내 ‘New Inquiry #20004546.exe’에서 실행이 이루어집니다. 실행되는 ‘AgentTesla’는 SMTP를 통해 C&C로 감염 PC의 정보를 전송하는 악성코드입니다. 따라서 감염될 경우 사용자들이 사용하는 크리덴셜 정보들이 공격자에게 노출될 수 있어 주의가 필요합니다. 또한 기업 혹은 최근 재택근무 환경에서 감염이 되는 경우, 크리덴셜 정보의 유출에 따른 피해가 발생할 수 있어 주의가 필요합니다. 현..

악성코드 분석 리포트 2021. 1. 20. 09:00