안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련 내용으로 위장한 악성 메일들이 국내에서 지속적으로 발견되고 있어 주의를 당부드립니다. 이번에 발견된 메일들은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS'과 'Dhl shipment alert' 제목을 가지고 있습니다. 다음은 각 메일에 대한 분석 정보입니다. 1. DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS 메일 본 메일은 'DHL BILL OF LADING SHIPPING INVOICE DOCUMENTS' 제목을 통해 선적 통지서로 위장하고 있으며, 예약된 배송물의 배송 추적 및 배송물의 자세한 정보 열람 내용으로 첨부 파일 실행을 유도합니다...

악성코드 분석 리포트 2018. 5. 25. 10:33

안녕하세요? 이스트시큐리티입니다. 스마트폰으로 게임을 하거나 동영상을 시청하고 있을 때, 갑자기 메시지를 확인하거나 검색을 해야 했던 적이 있으신가요? 부득이한 경우 게임과 영상을 잠시 접어두고, 해당 앱을 실행하여 일을 마친 후에 다시 돌아와야 해서 흐름도 깨지고, 번거로운 과정도 거쳐야 하는데요. 이처럼 모바일 환경은 별개의 창을 여러 개 띄워 동시에 작업할 수 있는 컴퓨터 환경과 멀티태스킹의 효율성에서 큰 차이를 보여 왔습니다. 오늘은 이 격차를 줄일 수 있는(!) 안드로이드 자체 기능을 한가지 소개해 드리고자 합니다. 안드로이드의 '멀티윈도우' 기능은 한 화면에서 두 가지 앱을 동시에 사용할 수 있도록 하는데요. 기능의 실행 방법에 대해서 상세히 알아보도록 하겠습니다. ※ 해당 기능은 안드로이드 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 5. 25. 09:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

안녕하세요? 이스트시큐리티입니다. 모바일 그린 라이프, 알약M은 토종 보안앱으로서 기술력과 브랜드 신뢰도를 통해 지난 1년동안 '국내 모바일 보안 앱 1위' 자리를 지키며 경쟁력을 입증해 왔습니다. 오늘은 알약M의 월간 사용자수(MAU)가 450만 명을 넘어서며 확고한 1위 모바일 보안앱으로 자리매김했다는 소식 전해드립니다! 알약M, 월간 사용자 수(MAU) 450만 명 돌파! 독보적인 성장세 유지중 지난해 3월부터 올해 2월까지의 국내 모바일 보안앱 분야 통계에 따르면, 알약M은 지난해 3월 대비 MAU가 약 37% 이상 증가한 451만 명을 넘어섰습니다. 또한 알약M의 같은 기간 순설치수는 약 45%늘어난 980만건으로 집계되었고, 앱의 실제 사용률(활동성)을 가늠할 수 있는 순설치수 대비 MAU 비..

이스트시큐리티 소식 2018. 5. 21. 16:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다. [그림 1] 포장 명세서 위장 악성 메일 또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다. [그림 2] 포장 명세서 위장 악성 메일 첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 ..

악성코드 분석 리포트 2018. 5. 16. 16:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다. 해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다. [그림 1] 사용자계정_body.exe 파일 생성 암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, ..

악성코드 분석 리포트 2018. 5. 15. 18:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 제품 주문서 관련 건으로 위장하였고, 첨부 파일의 실행을 유도합니다. [그림 1] '제품 주문서'로 위장한 악성 메일 첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며, 이를 통해 드롭박스로 연결을 유도합니다. [그림 2] 피싱 사이트 접속을 유도하는 PDF 파일 이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다...

악성코드 분석 리포트 2018. 5. 10. 13:49