Purple Fox malware distributed via malicious Telegram installers 데스크톱용 악성 텔레그램 설치 프로그램이 Purple Fox 악성코드를 배포해 감염된 장치에 추가 악성 페이로드를 설치하는 것으로 나타났습니다. 설치 프로그램은 컴파일된 AutoIt 스크립트인 "Telegram Desktop.exe"로 실제 텔레그램 설치 프로그램과 악성 다운로더 파일을 드롭합니다. 다운로더와 함께 드롭된 합법적인 텔레그램 설치 프로그램은 실행되지 않으며, AutoIT 프로그램은 다운로더(TextInputh.exe)를 실행합니다. TextInputh.exe가 실행되면 "C:\Users\Public\Videos\" 아래에 새 폴더("1640618495")가 생성되고 C2에 연..

카테고리 없음 2022. 1. 4. 09:00

Nasty macOS Malware XCSSET Now Targets Google Chrome, Telegram Software macOS를 공격하는 것으로 알려진 XCSSET 악성코드가 구글 Chrome 및 Telegram을 포함한 다양한 앱에 저장된 민감 데이터를 수집하도록 또 한번 업데이트되었습니다. XCSSET은 지난 2020년 8월 처음으로 발견되었으며, macOS 개발자를 노리며 흔히 사용하지 않는 배포 수단을 통해 Xcode 내 프로젝트 파일을 빌드할 때 실행되는 악성 페이로드를 Xcode IDE 프로젝트에 주입했습니다. 이 악성코드는 Safari 브라우저 쿠키 읽기 및 덤프, 다양한 웹사이트에 악성 JavaScript 코드 삽입, Notes, WeChat, Skype, Telegram을 포..

국내외 보안동향 2021. 7. 26. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 피싱 메일로 수집 한 개인정보를 클라우드 기반 인터넷 메신저인 "텔레그램 API"로 전달하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "✉ 배달되지 않은 메일이 7 개 있습니다" 라는 제목을 사용하여 사용자가 지난 메일을 확인하기 위해 본문 내의 링크를 클릭하도록 유도시키고 있습니다. 피싱 메일 본문에는 “시스템 지연으로 인해 발송되지 않은 메일이 7개 있습니다. 수정 사항은 다음과 같습니다” 라는 문구로 사용자의 클릭을 유도하며 링크가 클릭된 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다. 피싱 사이트에 입력 한 사용자의 계정 및 패스워드와 접속한 사용자에 대한 추가 정보(IP주소, 국가정보, 도시, ..

악성코드 분석 리포트 2021. 6. 23. 18:06

'Legit Apps Turned into Spyware' Targeting Android Users in Middle East 사이버 보안 연구원들이 2016년부터 활성화되어 왔으며 2018년 8월 처음 발표된 안드로이드 악성 캠페인에 대해 경고했습니다. 카스퍼스키의 연구원들이 "ViceLeaker"라 명명한 이 캠페인은 사용자가 알지 못하는 사이에 사용자 정보를 탈취합니다. 이 악성코드는 전화 기록, 문자 메시지, 사진, 비디오, 위치 데이터 등의 정보를 탈취하도록 설계되었으며, 이스라엘 및 기타 중동 국가들을 노리고 있는 것으로 나타났습니다. 일반적인 스파이 기능 외에도 파일 업로드/다운로드/삭제, 음성 녹음, 카메라 탈취, 특정 번호로 전화 걸기 또는 문자 보내기 등을 포함한 백도어 기능을 갖추고..

국내외 보안동향 2019. 6. 27. 13:49

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2019년 06월 10일경 ESRC에서는 자체 보안 모니터링 시스템을 통해, '진실겜.xls' 파일명의 악성 문서 파일을 발견했습니다. File Name MD5 진실겜.xls 64edec1d585ba599354f927249e12e6d 내부 조사결과 라자루스(Lazarus) APT 조직이 배후에 있는 것으로 확인되었습니다. 며칠 전 '라자루스(Lazarus) APT 그룹, 암호화폐 투자계약서 사칭 무비 코인 작전'을 공개한 바 있는데, 최근 비트코인의 시세가 1,500만원을 돌파하면서 특정 정부의 후원을 받는 해킹 조직의 활동이 증가하고 있어 각별한 주의가 필요합니다. 탐지 내역 C:\Users\Bit****\Downloads\Telegra..

악성코드 분석 리포트 2019. 6. 27. 10:59

안녕하세요? 이스트시큐리티입니다. 텔레그램을 이용하는 새로운 형태의 안드로이드 악성 앱이 등장하였습니다. 이전에도 텔레그램을 봇을 악용한 악성앱은 있었지만, MS사의 Xamarin을 활용한 C#으로 제작된 앱으로서는 처음입니다. 이 앱은 텔레그램 봇을 활용하여 원격으로 명령을 보냅니다. 원격 명령은 악성 행위와 관련되어 있고 오디오 제어, 카메라 제어, 메시지 탈취 등 개인의 사생활과 관련된 악성 행위를 합니다. 본 분석 보고서에서는 'Trojan.Android.HiddenApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 앱 은닉앱을 처음 실행하면 앱이 삭제됐다는 문구를 띄우고 아이콘을 숨겨 사용자를 속입니다. 그러나 실제로는 서비스 형태로 실행되어 악성 행위를 시작합니다. 해당 문구는 페르시..

악성코드 분석 리포트 2018. 7. 23. 16:27

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

TELEGRAB MALWARE STEALS TELEGRAM DESKTOP MESSAGING SESSIONS, STEAM CREDENTIALS 최근 발견 된 악성코드가 암호화 메시징 서비스인 텔레그램의 데스크탑 버전에서 캐시 데이터와 안전한 메시지 세션을 훔치는 것으로 나타났습니다. 연구원들은 TeleGrab이라 명명 된 이 악성코드가 텔레그램 데스크탑 버전 설계의 취약한 기본 세팅 및 데스크탑의 Secret Chat에 대한 지원 부족을 이용한다고 밝혔습니다. 텔레그램의 모바일버전과는 다르게, 데스크탑 기본 버전은 종단간 암호화 메시징 기능인 Secret Chat을 지원하지 않습니다. 이 기능이 존재하지 않기 때문에, 타겟의 컴퓨터에 접근할 수 있는 해커들이 프로그램의 캐시를 통해 텔레그램의 세션을 ‘가로..

국내외 보안동향 2018. 5. 22. 09:00