안녕하세요. 이스트시큐리티입니다. 최근 안드로이드 모바일 기기를 대상으로하는 스피어 피싱 공격이 나타났습니다. 포털 사이트 네이버의 개인정보 유출 방지와 관련된 메일을 전송하여 악성 앱을 설치하도록 유도합니다. 이 악성앱은 네이버 로고와 “Naver Defender”라는 앱명으로 네이버 백신을 사칭하며 주소록, 통화기록, 문자메시지 등의 민감한 정보들을 탈취합니다. 악성앱 분석 [그림 1] 서명 시간 및 파일 생성시간 2018년 03월 06일 최초 앱의 인증서 서명을 하였고, 이후 16일 최종 APK 파일을 수정하였습니다. [그림 2] 오픈소스 활용 안드로이드 수신, 발신 전화를 녹음할 수 있는 “github.com/aykuttasil” 오픈소스를 활용하여 악성행위를 목적으로 제작하였습니다. [그림 3]..

악성코드 분석 리포트 2018. 3. 20. 15:14

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 청첩장으로 위장한 스미싱 문자가 최근에도 발견이 되고 있어 이용자들의 주의를 당부드립니다. 이번에 발견된 스미싱 문자는 '[Web발신] 예식시간:2018.3.24 오전 11시 안내확인 '로 되어 있습니다. 만일 이용자가 지인의 결혼식 혹은 호기심에 의해 악성 URL 주소를 클릭할 경우 'iwedding.10883.v1.0.1.apk'이 다운로드 됩니다. [그림 1] 청첩장 위장 스미싱 문자 다운로드 된 악성앱 'iwedding.10883.v1.0.1.apk'은 '모바일웨딩청첩장'이라는 이름으로 위장되어 있으며, 설치가 완료되어 실행하면 감염이 진행됩니다. [그림 2] 청첩장 설치 화면의 일부 설치되어 실행되는 악성앱 '모바일웨딩청첩장'은 삭제를..

악성코드 분석 리포트 2018. 3. 20. 10:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 페이스북 아이콘으로 가장한 ‘직소 랜섬웨어 변종’의 악성 파일이 발견되어 사용자들의 주의를 당부 드립니다. [그림 1] Facebook 위장 아이콘 이번에 발견된 직소 랜섬웨어는 소름 돋는 단편 공포 영화 ‘러브 크래프트’의 ‘크툴루’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다. [그림 2] 크툴루 이미지를 포함한 안내문 이번 랜섬웨어 변종은 크툴루 신화 이미지 노출을 제외하고 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. 암호화가 완료되면 PC 화면에 창을 띄워 먼저 스페인어로 된 문장을 한 줄씩 순차적으로 보여준 후 영어..

악성코드 분석 리포트 2018. 3. 15. 16:45

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 실제 국내 운송 업체를 사칭한 '배송 스미싱' 문자가 최근에도 지속적으로 많이 퍼지고 있어 이용자들의 주의를 당부드립니다. ▶ 대한통운 사칭 지능 타깃형 스미싱 공격 주의! ▶ 갈수록 위협적인 스미싱, 이제는 당신의 신용카드도 노린다! 최근에 발견되고 있는 배송 스미싱 문자는 주소지 변경, 택배 분실로 인한 보상 안내 내용을 담고 있습니다. 특히나 PC나 스마트폰 등으로 온라인 쇼핑을 주로 하는 이용자들의 경우 자칫 자신의 상품이 중간에 잘못된 것으로 오인할 수 있습니다. [그림 1] 배송 스미싱 문자 - 주소지 변경 [그림 2] 배송 스미싱 문자 - 택배 분실 보상 안내 이용자가 자신의 물품이 잘못된 것으로 착각하여 문제 해결을 위해 스미싱 ..

악성코드 분석 리포트 2018. 3. 13. 18:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어 이용자들의 주의를 당부 드립니다. 이번에 발견된 'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에 'LocalDQhZjmCUTx.exe' PE 파일과 'LocalZaMiXJBzqg.mp4' 동영상 파일을 드롭 및 실행합니다. 공격자는 다음의 동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다. [그림 1] LocalZaMiXJBzqg.mp4' 동영상 파일 재생 화면 파일 실행 및 드롭 코드는 아래와 같습니다. [그림 2] 파일 드롭 및 실행 코드 드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷..

악성코드 분석 리포트 2018. 3. 8. 13:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 한국어로 번역된 것으로 보이는 전신 송금 확인 메일이 국내에 유입된 정황이 확인되어 주의를 당부드립니다. 이번에 발견된 악성 메일은 전신 송금을 확인하라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 '주문.rar'에는 'purchase order.exe' 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 '주문.rar 파일 'purchase order.exe' 파일은 %APPDATA% 경로에 'tmp.exe' 파일을 드롭 및 실행합니다. [그림 3] tmp.exe 파일 드롭 및 실행 코드 드롭되어 실행되는 'tmp.exe' 파일은 프로세스 인젝션 이후, 정보 탈취 기능을 수행합니..

악성코드 분석 리포트 2018. 3. 6. 18:07

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내에 지속적으로 사서함 업그레이드로 위장한 피싱 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 사서함 할당량 초과로 인하여, 사서함을 업그레이드해야 한다는 내용으로 링크 클릭을 유도합니다. [그림 1] 사서함 업그레이드를 유도하는 악성 메일 메일 본문의 '업그레이드하려면 여기를 클릭하십시오'를 클릭하게 될 경우 계정 비밀번호 입력을 유도하는 사이트로 연결합니다. [그림 2] 비밀번호 입력을 유도하는 사이트 만일 이용자가 비밀 번호를 입력하고, '지금 업그레이드' 버튼을 누를 경우 페이지에서 '기다려주십시오' 등의 문구가 보여집니다. 하지만 이는 이용자를 안심시키기 위한 것으로 보여지며, 실제로는 입력 폼에 기입한..

악성코드 분석 리포트 2018. 2. 28. 13:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 사용자의 주의를 당부 드립니다. 이 악성코드는 [그림1]과 같이 사용자 PC에 있는 가상 화폐의 종류를 확인합니다.(비트 코인을 포함한 총 9개의 가상 화폐 - 비트코인, 라이트코인, 이더리움, 모네로, 스팀 등) 이는 국내에서도 인기있는 지갑 정보와 사용자 정보 탈취를 목적으로 보여집니다. [그림1] 가상 화폐 종류 확인 코드 가상 화폐 지갑 정보 외에 사용자의 브라우저를 확인하여 시스템 상에 저장된 로그인 ID/PW 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 존재합니다...

악성코드 분석 리포트 2018. 2. 23. 17:41