안녕하세요? 이스트시큐리티입니다. 드디어 2019년 새해가 밝았습니다. 새해를 맞아 알약M이 좋은 소식을 갖고 찾아왔는데요. 바로 많은 사용자분들이 원하셨던 '페이스북 메신저' 파일 정리 기능을 이번 버전부터 지원한다는 사실! (짝짝짝) 한 번도 안 써본 분은 있어도, 한 번만 쓰는 사용자는 없다는 알약M의 '메신저 파일 정리' 기능은 하루에도 몇 번씩 메신저앱으로 미디어파일을 주고받는 동안 나도 모르게 쌓이는 캐시파일들을 정리해 스마트폰 용량과 속도를 올려주는 기특한 기능이랍니다. 지워도 지워도 용량이 부족하다면? 해답은 메신저 파일 정리! 내 스마트폰으로 함께 찍은 셀카, 지금 먹고 있는 음식 사진, 아이의 학예회 동영상 등 가족과 친구들에게 시시때때로 사진과 동영상을 공유하는데요, 이렇게 사진과 동..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 1. 4. 17:58

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 GandCrab랜섬웨어가 유포되고 있어 사용자 주의를 당부 드립니다. ※ 관련글 보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번에 발견된 연말정산 사칭 악성 메일은 기존에 발견된 ‘연말 정산’ 사칭 악성 메일과 동일한 내용을 가지고 있으며, 첨부 파일의 실행을 유도합니다. 특징적으로 이전에 유포된 ‘연말정산’ 사칭 악성 메일과 비교했을 때, ‘벌써 2018년도의 한해를 마무리하는 12월도 절반을 ..

악성코드 분석 리포트 2018. 12. 27. 17:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 악성 파일 아이콘이 “터키” 국기 모양을 하고있는 ‘법원 명령’ 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글보기 ▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 독특한 스타일의 피싱 메일 주의!▶ 암호를 입력해야만 작동하는 악성 매크로 파일 주의!▶ 악성 매크로가 포함된 수수료 관련 악성 메일 주의! 이번에 발견된 악성 메일은 법원 명령에 관련된 내용으로 첨부 파일의 실행을 유도합니다. [그림 1] 수신된 메일 첨부 파일 ‘S12FG803.zip’ 에는 실행 파일인 ‘S12FG803.exe’ 파일이 담겨져 있습니다. [그림 2] 첨부된 ‘S12FG803.zip’ 파일 특이하게도 악성 파일의 ..

악성코드 분석 리포트 2018. 12. 18. 16:26

안녕하세요? 이스트시큐리티입니다. 얼마 남지 않은 올해, 잘 보내고 계신가요? 알록달록 단풍이 산을 물들인 게 엊그제 같은데, 어느새 흰 눈으로 덮인 풍경이 더 익숙해지고 있습니다. 날이 많이 추워지다 보니 길도 얼어붙고, 날씨로 인한 여러 변화들이 생겨나는데요. '배터리가 20%나 남았는데 갑자기 꺼져버렸어!' 하는 이야기도 심심치 않게 들려오기 시작했습니다. 이번 포스팅에서는, 겨울만 되면 스마트폰 배터리가 더 빨리 닳고, 심지어 방전까지 되곤 하는 이유가 무엇인지 함께 알아보고 겨울철 배터리 관리법까지 살펴보도록 하겠습니다. 추울 때 빨리 닳는 스마트폰 배터리, 원인은 리튬이온전지에 있다! 추울 때 배터리가 빨리 닳고, 방전까지 되는 이유를 알기 위해서는 스마트폰 배터리 속을 살펴봐야 합니다. 스마..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 12. 17. 09:35

안녕하세요? 이스트시큐리티입니다. 기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다. 특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 특징백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연..

악성코드 분석 리포트 2018. 12. 14. 08:30

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다. 작년 12월 카카오톡을 통한 피싱 공격이 이루어 지고 있다는 언론의 보도가 있었습니다. 해당 공격은 탈북자를 대상으로 앱을 직접 전달하거나 구글 플레이스토어의 설치 페이지를 알려 주어 앱을 설치하도록 유도하는 피싱 공격이었습니다. 이렇게 설치되는 앱은 피해자의 사생활 정보를 탈취하는 스파이앱으로 밝혀졌습니다. 발견된 스파이앱을 제작한 공격주체는 “금성121”이라는 단체로 추정되며 한국을 대상으로 지속적인 사이버공격을 하고 있는 단체입니다. 금성121의 공격 대상 장비는 서버나 PC였으나 이번 스파이앱의 발견으로 모바일 영역까지 확대한 것을 알 수 있습니다. 그리고 금성121의 공격 대상은 군이..

악성코드 분석 리포트 2018. 12. 13. 16:53

암호를 입력해야만 작동하는 악성 매크로가 국내에 다수 유포되고 있어 사용자들의 주의가 필요합니다. 사용자가 악성 매크로가 포함된 DOC 파일을 클릭하면, 암호를 입력하라는 창이 뜹니다. [그림 1] 암호 입력 창 이스트시큐리티에서는 샘플만 수집하였기 때문에 아직 어떠한 형태로 유포되는지는 정확하게 확인되지 않았지만, 이메일을 통해 유포될 것으로 추정되며 암호는 이메일 내용에 포함되어 있을 것으로 추측됩니다. 해당 파일에 암호를 건 이유는 스팸 솔루션을 우회하려고 시도한 것이 아닌가 추측됩니다. 사용자가 암호를 입력하면 아래와 같이 워드파일의 본문 내용이 보여지며 매크로를 실행하라는 문구를 보여줍니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 만약 사용자가 [콘텐츠 사용]을 클릭하면 워드 파일에 포..

악성코드 분석 리포트 2018. 12. 11. 11:26