안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 구매대행업체의 앱처럼 위장하여 사용자들의 정보를 탈취하고 이를 보이스피싱에 활용하는 앱이 대거 발견되고 있습니다. 해당 앱은 실제 페이지를 그대로 수정해서 사용하며 사용자는 이를 알아차리기 힘듭니다. 앱의 아이콘과 이름, 업체명 등등이 각기 다르며 여러 가지 버전들로 구성되어 있고 페이지의 기본 틀은 비슷하게 표시되어 있습니다. 위와 같은 악성 행위는 하나의 github 주소에서 C2를 가져오기 때문에 계정 정지만 당하지 않는다면 주소를 옮겨가며 앞으로 만들어내는 모든 앱도 지속해서 유지할 수 있습니다. 지금도 꾸준하게 유사한 버전들의 앱을 배포하고 있고 다른 버전도 추가로 만들어내고 있습니다. 감염 시 정보들을 탈취당하고 사이트를 ..

악성코드 분석 리포트 2021. 12. 17. 09:00

Experts spotted a phishing campaign impersonating security firm Proofpoint 사이버 범죄자들이 보안 회사인 Proofpoint를 사칭하여 피해자가 Microsoft Office 365 및 Google Gmail 크리덴셜을 넘겨주도록 속이고 있는 것으로 나타났습니다. 해당 피싱 메시지는 대출금 지불 요청을 미끼로 사용하며 "Re: Payoff Request"와 같은 제목을 사용합니다. Armorblox에서는 포스팅을 통해 아래와 같이 밝혔습니다. "이 이메일은 Proofpoint를 통해 보낸 보안 파일을 링크로 첨부한다고 주장합니다." “피해자가 링크를 클릭할 경우, Proofpoint의 브랜딩을 스푸핑하고 다양한 이메일 서비스 로그인 링크를 포함한..

국내외 보안동향 2021. 11. 8. 14:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 일반 사용자들의 스마트폰을 장악해 문자, 녹음, 갤러리 등등 사생활을 몰래 감시하고 정보를 탈취하는 악성 앱은 꾸준하게 발견되고 있습니다. 최근 분석을 어렵게 하기 위해 다양한 방법을 사용한 앱을 발견하였으며, 해당 앱 설치 시 개인정보 유출 및 원격제어가 가능합니다. 여기서 유출된 계정과 기타 정보들은 판매되거나 또 다른 피해를 발생시킬 수 있습니다. 기존 크롬 브라우저 아이콘으로 위장했던 악성 앱은 현재 한국의 우체국과 라인 앱 등으로 위장하고 있습니다. 또한 앱 실행 시 별다른 화면이 나타나지 않고 앱 목록에서 숨김 처리가 이루어집니다. 위의 분석에서 앱 실행 시 화면이 나타나지 않았지만, 이 또한 웹 사이트에 있는 텍스트를 참고하여..

악성코드 분석 리포트 2021. 10. 19. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 사용자 계정의 사용제한을 빌미로 국내 포털사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일들은 "[중요] 회원님의 계정이 이용제한 되었습니다”, "[중요] 회원님의 아이디는 로그인 제한 되었습니다." 라는 제목이 사용되었으며, 2개의 메일 모두 계정 사용제한이라는 내용으로 국내 포털사이트의 개인정보를 노리는 피싱 메일입니다. 사용자가 본인의 계정 이용제한을 해제하기 위해 메일에 표시된 링크를 클릭할 경우 국내 포털사이트의 피싱 사이트로 이동하게 됩니다. 피싱 사이트에 입력한 사용자의 계정 / 패스워드는 아래 공격자 서버로 전달됩니다. - 개인정보 피싱 및 수집 사이트 hxxp://imap_pop.navers[.]website/h..

악성코드 분석 리포트 2021. 10. 19. 02:09

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 몸캠 피싱 공격은 스미싱과 같은 다른 공격들에 비해 공격 빈도가 낮은 편이지만 지속적으로 공격이 이루어지고 있으며 최근까지도 변종이 꾸준히 발견되고 있습니다. 몸캠 피싱은 스마트폰 채팅 앱(랜덤채팅)을 통해 피해자를 찾으며 음란 화상 채팅을 유도하여 피해자의 음란 행위를 녹화합니다. 그리고 피해자의 스마트폰에 악성 앱 설치를 유도하여 피해자의 연락처를 탈취합니다. 이후 음란행위 영상을 지인들에게 유포하겠다는 협박을 통해 금전을 갈취합니다. 몸캠 피싱은 피해자의 음란 영상과 함께 피해자의 지인 연락처가 있어야 협박이 가능하기에 악성앱을 설치하지 않는다면 공격자의 협박을 막을 수 있습니다. 따라서, 출처가 불명확한 URL과 파일은 실행하지 않..

악성코드 분석 리포트 2021. 9. 24. 09:00

BulletProofLink, a large-scale phishing-as-a-service active since 2018 마이크로소프트의 연구원들이 BulletProofLink(Anthrax)라 명명된 대규모 서비스형 피싱(PhaaS; Phishing-as-a-Service) 작전을 발견했습니다. 이들은 고객에 피싱 공격을 실행하기 위한 피싱 키트, 이메일 템플릿, 호스팅, 자동화 서비스를 제공합니다. BulletProofLink 서비스는 매우 저렴한 편이며 특정 기술이 없이도 공격자가 피싱 캠페인을 계획할 수 있도록 했습니다. 마이크로소프트는 공격자가 제어하는 ​​사이트나 BulletProofLink에서 PhaaS 서비스의 일부로 제공한 사이트에서 BulletProofLink 피싱 키트를 사용한 ..

국내외 보안동향 2021. 9. 24. 09:00

안녕하세요. ESRC(시큐리티 대응센터)입니다. 수신된 이메일에서 바이러스 활동이 감시되어 이메일 검사를 진행하라는 내용의 피싱 공격이 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 "계정 보안 [이메일주소]” 라는 제목이 사용되었으며, 사용 중인 이메일 계정에서 바이러스 활동이 감지되어 계정 안전을 위해 본문에 표기된 링크를 클릭하여 이메일 검사를 유도하고 있습니다. 특히 발신자 주소가 한국 사이버결제사에서 보낸 것처럼 위장하여 사용자의 의심을 피하려 했습니다. 사용자가 이메일 바이러스 검사를 위해 본문에 기재 된 스캐닝 주소를 클릭하면 로그인 계정과 패스워드를 탈취하는 피싱 사이트로 이동하게 됩니다. 피싱사이트에 접속되면 사용자의 이메일이 감염되었다는 문구가 표시되며, 정상적인 바이러스..

악성코드 분석 리포트 2021. 9. 13. 15:34

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 하이웍스를 사칭한 피싱메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 하이웍스란 가비아에서 운영하는 클라우드 그룹웨어로 많은 기업에서 도입하여 사용 중 입니다. 이번에 발견된 메일은 '메일이 차단되었습니다. 회신 부탁드립니다'라는 제목으로 유포 중이며, 귀하의 메일 배달이 차단되었다는 내용과 함께 메일 내 포함되어 있는 메시지 검토 버튼 클릭을 유도합니다. 사용자가 메세지 검토를 클릭하면, 하이웍스 로그인 페이지로 위장한 피싱 페이지로 넘어갑니다. 피싱 페이지에는 사용자 이메일 계정이 이미 입력되어 있으며, 비밀번호 입력을 유도합니다. 사용자가 만약 비밀번호 입력 후 로그인을 누르면, 계정 정보는 공격자의 서버로 전송된 ..

악성코드 분석 리포트 2021. 9. 8. 15:40