안녕하세요. ESRC(시큐리티 대응센터)입니다. 최근 애플 사용자를 대상으로 한 피싱 공격들이 발견되어 사용자들의 주의가 필요합니다. 해당 메일은 “알 수 없는 기기를 사용하여 로그인”이라는 제목으로 비정상적인 로그인이 발생하였기 때문에 본문에 기재된 링크를 통해 확인하라는 클릭 유도형 방식을 사용하였습니다. [그림 1] 애플 사용자 피싱 공격에 사용된 이메일 피싱 메일을 받은 사용자가 로그인 정보를 확인하기 위해 본문에 기재된 링크를 클릭할 경우 허위 로그인 정보를 포함한 PDF가 다운로드 되고 바로 사용자에게 보여집니다. [그림 2] 허위 로그인 정보가 담긴 PDF파일 화면 사용자가 본인의 계정을 보호하기 위해 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게..

악성코드 분석 리포트 2020. 4. 10. 13:24

안녕하세요. 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 경찰청을 사칭한 악성 메일이 발견되어 사용자들의 주의가 필요합니다. [그림 1] 경찰청 사칭 악성 메일 이번에 발견된 메일은 경찰청 초대라는 제목으로 유포되었으며, 어색한 한국어를 구사하고 있습니다. 이메일 하단에 현 경찰청장 이름인 민갑룡 영문이름을 추가하여 사용자들의 신뢰를 얻으려 시도하였습니다. 해당 메일에는 문서.iso 파일이 첨부되어 있습니다. 첨부되어있는 문서.iso 파일 안에는 문서.exe 파일이 포함되어 있습니다. [그림 2] 악성 메일에 포함된 첨부파일 문서.exe 파일 분석 최초 첨부 파일인 ‘문서.exe’은 닷넷 파일으로 자기 자신을 자식 프로세스로 실행한 뒤, ‘Remcos’ 페이로드를 인젝션하는 기능을 수행합니다. ..

악성코드 분석 리포트 2020. 4. 8. 09:44

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다. 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다. [그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면..

악성코드 분석 리포트 2019. 6. 21. 16:43

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 28일), '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있어, 사용자들의 주의가 필요합니다. 이번에 포착된 피싱 메일에는 'VegaLocker' 변종을 감염자 PC에 다운로드하고 실행시키는 것으로 조사되었으며, "리플라이 오퍼레이터(Reply Operator)" 그룹이 유포한 것으로 확인되었습니다. [그림 1] 헌법 재판소를 사칭한 피싱 메일 화면 피싱 메일에는 'Documents.zip'라는 압축 파일(.zip)이 첨부되어 있습니다. 특이한 점은 이전에 발견된 메일과 달리 보관 '파일의 비밀번호'라는 내용이 추가된 점입니다. 해당 메일을 받은 사용자가 사건과 관련된 서류로 착각해 압축을 해제..

악성코드 분석 리포트 2019. 5. 28. 10:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 상품 배송 관련으로 위장한 악성 피싱 메일이 발견되어 주의를 당부드립니다. 본 메일은 “Shipment B/L” 제목으로 전파되고 있으며, 특히 첨부파일에 송장과 물건 리스트가 있는 것처럼 사용자들을 속여 사용자들의 클릭을 유도 하고 있습니다. [그림 1] 피싱 사이트가 포한 된 메일 본문 사용자가 첨부파일을 확인하기 위해 클릭 하는 순간 피싱 사이트로 연결됩니다. [그림 2] 다음 메일 피싱 사이트 사용자가 송장 리스트를 확인하기 위해 해당 페이지에 계정정보를 입력한다면, 입력한 개인정보는 모두 제작자에게 넘어가게 됩니다. [그림 3] 사용자 계정정보 전송 화면 본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하..

악성코드 분석 리포트 2018. 11. 19. 11:45

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘We’ll miss you: [수신자 이메일 주소] Removal request from [수신자 도메인] server accepted’ 라는 제목의 피싱 메일이 이메일 관리자를 타깃으로 국내에서 유포되고 있어 주의를 당부드립니다. 매우 고전적인 이메일 계정 피싱 수법이긴 하지만, 이번에 발견된 공격수법은 마치 이메일 웹 서버에서 관리자 권한으로 계정들을 모조리 삭제하는 것처럼 교묘하게 만들어진 특징이 있습니다. ※ 참고자료 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의▶ 군비 통제 관련 기사 문서로 위장한 악성코드 주의▶ 남북 회담 관련 인터뷰 기사 문서로 위장한 악성코드 주의 ▶ '국내 포털 사이트의 계정 종료'로 위..

악성코드 분석 리포트 2018. 4. 12. 17:15

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내에 지속적으로 사서함 업그레이드로 위장한 피싱 메일이 국내에 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 사서함 할당량 초과로 인하여, 사서함을 업그레이드해야 한다는 내용으로 링크 클릭을 유도합니다. [그림 1] 사서함 업그레이드를 유도하는 악성 메일 메일 본문의 '업그레이드하려면 여기를 클릭하십시오'를 클릭하게 될 경우 계정 비밀번호 입력을 유도하는 사이트로 연결합니다. [그림 2] 비밀번호 입력을 유도하는 사이트 만일 이용자가 비밀 번호를 입력하고, '지금 업그레이드' 버튼을 누를 경우 페이지에서 '기다려주십시오' 등의 문구가 보여집니다. 하지만 이는 이용자를 안심시키기 위한 것으로 보여지며, 실제로는 입력 폼에 기입한..

악성코드 분석 리포트 2018. 2. 28. 13:23