안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ‘Spyware.Ursnif’(이하 ‘Ursnif’) 악성코드는 ‘Gozi,’Dreambot’라는 이름의 뱅킹 트로이목마로 알려져 있습니다. 해당 악성코드는 메일 내 첨부된 Microsoft Office 악성 문서 파일에서 유포되는 것으로 알려져 있습니다. 본 악성코드는 C&C로 정보 전송 및 추가 페이로드 실행 기능이 있으며, 페이로드의 명령 제어 기능에 따라 OS 파괴, 추가 DLL 실행 등이 있어서 공격자 의도에 따라 이용자의 피해가 발생할 수 있습니다. 만일 기업에서 이 악성코드에 감염될 경우, 추가 악성코드 다운로드나 사용자 정보 탈취 등에 의해 정보 유출 및 시스템 파괴로 이어지는 피해가 발생할 수 있어 주의가 필요합니다. 특히..

악성코드 분석 리포트 2021. 3. 17. 09:00

Watch Out! New Android Banking Trojan Steals From 112 Financial Apps 보안 연구원들이 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 4개인 “Tetrade”를 발견한 지 4개월이 지난 후, 이 공격자들이 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가한 것으로 나타났습니다. 카스퍼스키의 GReAT 팀에 따르면, 브라질의 공격 그룹인 Guildma는 브라질, 파라과이, 페루, 포르투갈, 독일, 앙골라, 모잠비크의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 “Ghimob”을 배포했습니다. "Ghimob은 완전한 기능을 갖춘 주머니 속 스파이입니다. 일단 감염되면, 해커는 기기에 원격으..

국내외 보안동향 2020. 11. 11. 09:02

Cerberus banking Trojan source code released for free to cyberattackers Cerberus 뱅킹 트로이목마의 소스코드가 경매 실패 후 언더그라운드 해킹 포럼에 무료로 공개되었습니다. 지난 수요일 개최된 카스퍼스키 NEXT 2020에서 사이버보안 연구원인 Dmitry Galov는 유출된 코드는 Cerberus v2라는 이름으로 배포되었으며 스마트폰 사용자 및 뱅킹 부문 전체를 거대한 위험에 빠트린다고 설명했습니다. Cerberus는 구글 안드로이드 OS용으로 설계된 모바일 뱅킹 트로이목마입니다. 2019년 7월부터 배포된 것으로 보이는 이 원격 액세스 트로이목마(RAT)는 감시, 통신 가로채기, 기기 기능 조작 및 뱅킹, SNS 앱 위에 오버레이 화면을..

국내외 보안동향 2020. 9. 17. 14:00

Emotet malware's new 'Red Dawn' attachment is just as dangerous Emotet 봇넷이 악성 첨부파일에 새로운 템플릿을 사용하기 시작했습니다. 이 첨부파일은 이전 것들 보다 훨씬 위험한 것으로 나타났습니다. Emotet 악성코드는 5개월의 공백기를 거친 후 2020년 7월 돌아와 전 세계적으로 엄청난 양의 악성 스팸을 배포하기 시작했습니다. 이 스팸 캠페인은 아래와 같이 인보이스, 배송 정보, 코로나19 정보, 이력서, 금융 관련 문서, 스캔된 문서 등으로 위장합니다. 이 이메일에는 악성 워드(.doc)파일이나 해당 파일을 다운로드하는 링크가 첨부되어 있습니다. 이 첨부파일을 열람할 경우 사용자에게 ‘콘텐츠를 활성화’하라는 알림이 표시됩니다. 이를 활성화하게..

국내외 보안동향 2020. 8. 31. 09:00

CISA warns of BLINDINGCAN, a new strain of North Korean malware 미 사이버 보안 및 인프라 안보국(CISA)이 북한 정부 해커가 올해 배포한 새로운 악성코드 변종에 대한 보안 경고를 발행했습니다. McAfee(Operation North Star)와 ClearSky(Operation DreamJob)의 보고서에 따르면, 이 새로운 악성코드는 미국과 국외 군사 방위, 항공 우주 분야를 공격했습니다. 공격은 북한 해커들이 원하는 회사의 직원들에 접근할 목적으로 흔히 사용되는 대기업의 인사 담당자로 위장하는 방식을 사용했습니다. 타깃 직원은 인터뷰를 요청받았으며, 그 과정에서 피해자의 컴퓨터에 악성코드를 배포하는 악성 오피스 또는 PDF 문서를 받게 됩니다. ..

국내외 보안동향 2020. 8. 20. 14:00

Agent Tesla includes new password-stealing capabilities from browsers and VPNs SentinelOne의 연구원들이 Agent Tesla 트로이목마의 새로운 변종을 발견했습니다. 이 새 변종에는 인기 웹 브라우저, VPN 소프트웨어, FTP 이메일 클라이언트 등 애플리케이션에서 크리덴셜을 훔치는 새로운 모듈이 추가되어 있었습니다. Agent Tesla는 스파이웨어로 감염된 시스템에서 키 입력, 시스템 클립보드, 스크린샷, 크리덴셜 등을 훔쳐 피해자를 스파잉하는데 사용됩니다. 이 작업을 위해 스파이웨어는 메인 기능에 다른 스레드와 타이머 기능을 생성합니다. 연구원들은 이 악성코드를 2018년 6월 처음 발견했지만, 이는 2014년부터 활동해온 것으..

국내외 보안동향 2020. 8. 13. 09:00

New COMpfun malware variant gets commands from HTTP error codes 새로운 COMpfun 원격 액세스 트로이목마(RAT) 변종이 흔하지 않은 HTTP 상태 코드를 통해 제어되는 것으로 나타났습니다. 이 악성코드는 유럽의 외교 기관을 노린 공격에 사용되었습니다. 이 악성코드는 G-Data에서 2014년 처음 발견 및 분석하였습니다. 2019년에는 카스퍼스키가 암호화된 트래픽에 중간자 공격이 가능하며 코드가 매우 유사한 또 다른 트로이목마를 발견해 Reductor라 명명했습니다. 카스퍼스키는 이 악성코드가 Turla APT와 관련이 있을 가능성이 있다고 밝혔습니다. 업그레이드된 원격 접속 트로이목마 2019년 11월 카스퍼스키에서 발견한 새로운 COMpfun 악..

국내외 보안동향 2020. 5. 15. 09:59

WARNING — Malware Found in CamScanner Android App With 100+ Million Users 구글 플레이 스토어에서 1억 회 이상의 다운로드를 기록한 인기 있는 모바일 PDF 제작 앱, CamScanner의 무료 버전에서 악성코드가 발견됐습니다. 공격자들은 원격으로 해당 앱을 사용하는 사용자의 안드로이드 기기 및 저장된 데이터에 하이잭할 수 있는 것으로 나타났습니다. 현재 구글은 공식 플레이 스토어에서 이 앱을 제거했습니다. 사용 중인 안드로이드 기기에 해당 앱이 설치되어 있을 경우 안전을 위해 즉시 제거하시기 바랍니다. 연구원들은 CamScanner 앱이 최근 악성으로 변질되었다고 밝혔습니다. 앱 내 숨겨진 트로이목마 드로퍼 모듈은 원격 공격자들이 은밀히 기기에 ..

국내외 보안동향 2019. 8. 28. 10:28