Stealthy new JavaScript malware infects Windows PCs with RATs 새로운 비밀스러운 JavaScript 로더인 RATDispenser가 피싱 공격을 통해 기기를 다양한 원격 접속 트로이목마(RAT)에 감염시키는데 사용되고 있는 것으로 나타났습니다. 이 새로운 로더는 정보를 훔치고 공격자가 타깃 기기를 제어할 수 있도록 설계된 악성코드 패밀리 최소 8개와 빠르게 배포 파트너쉽을 구축했습니다. HP Threat Research 팀에서 분석한 사례 중 94%에서, RATDispenser는 공격자가 제어하는 ​​서버와 통신하지 않으며 1단계 악성코드 드롭퍼로만 사용됩니다. 페이로드를 드롭하는데 마이크로소프트 오피스 문세를 사용하는 추세와 달리, 이 로더는 안티 바이러..

국내외 보안동향 2021. 11. 25. 09:00

Twilio exposes SDK, attackers inject it with malvertising code Twilio가 2015년부터 약 5년 동안 SDK의 경로에 공개적으로 접근 및 쓰기가 가능하도록 방치된 잘못 구성된 Amazon AWS S3 버킷 중 하나에 해커가 접근 권한을 얻은 후 TaskRouter JS SDK가 해킹되었다고 밝혔습니다. Twilio는 서비스형 클라우드 커뮤니케이션 플랫폼 (CPaaS) 회사로 개발자들이 Twilio의 웹 서비스 API를 통해 앱에 음성, 영상, 메시징, 인증 기능을 추가할 수 있도록 합니다. 현재 약 4만 곳 이상의 기업에 커뮤니케이션 기능을 지원하고 있습니다. Twitter, Netflix, Uber, Shopify, Morgan Stanley, Ai..

국내외 보안동향 2020. 7. 23. 14:30

Discord modified to steal accounts by new NitroHack malware 프리미엄 Discord Nitro 서비스를 무료로 사용할 수 있는 핵으로 위장한 새로운 악성코드가 배포되고 있습니다. 이 악성코드는 다양한 브라우저에 저장된 사용자의 토큰, 신용 카드 정보를 훔치고 다른 사용자에게 확산되려고 시도합니다. Discord와 같은 개방형 플랫폼을 사용하면 클라이언트가 사용하는 JavaScript 파일을 쉽게 수정할 수 있습니다. 공격자는 악성 행위를 위해 클라이언트를 수정하려는 목적으로 이를 흔히 악용합니다. 새로운 악성코드인 NitroHack은 위와 같이 클라이언트를 수정하여 Discord 사용자 토큰, 저장된 신용카드 정보를 훔치고 Discord 다이렉트 메시지를 통..

국내외 보안동향 2020. 6. 22. 14:30

New Avaddon Ransomware launches in massive smiley spam campaign 새로운 Avaddon 랜섬웨어가 스마일, 윙크 이모티콘이 포함된 전 세계 사용자들을 노리는 대규모 스팸 캠페인을 통해 Avvaddon 랜섬웨어가 배포되고 있는 것으로 나타났습니다. Avaddon은 이달 초 활동을 시작했으며, 해커와 악성코드 배포자를 적극적으로 모집해 다양한 방법으로 랜섬웨어를 확산시키고 있습니다. Avaddon 랜섬웨어는 지난 2월 Nemty 랜섬웨어의 러브레터 캠페인을 연상시키는 스팸 캠페인을 통해 배포되고 있습니다. 내 사진이 마음에 드시나요? 이메일은 "Your new photo?" 또는 "Do you like my photo?"와 같은 제목을 사용하고, 메일 내용에는..

국내외 보안동향 2020. 6. 9. 09:28

Android app promised to serve news updates, served ESET with a DDoS attack instead ESET이 구글 플레이스토어에서 호스팅된 악성 뉴스 앱에서 실행된 DDoS 공격을 차단한 것으로 나타났습니다. “Updates for Android”라는 앱은 평점 4.3을 기록하고 많은 좋은 리뷰를 받았지만, DDoS 공격을 실행하기 위하여 은밀히 봇을 생성하고 있었습니다. 이 앱은 2019년 9월 9일 처음 구글 플레이에 등록되었으며, 최대 5만 건의 설치를 기록하며 인기가 치솟았습니다. “Update for Android”는 뉴스 피드를 제공하는 정식 소프트웨어 앱으로 위장해 운영해 왔으며 최근에는 악성 목적으로 사용할 수 있는 기능만을 업데이트한 것으..

국내외 보안동향 2020. 5. 13. 14:00

Massive Magecart campaign targets sites offering counterfeit sneakers 스니커즈의 인기가 높아질수록 위조품을 판매하는 사이트들 수 또한 급격히 늘어나고 있으며, 공격자들은 이 기회를 악용하여 수익을 올리려 하고 있는 것으로 나타났습니다. Malwarebytes의 연구원들은 해커가 이러한 사이트를 노려 구매자의 신용카드 정보를 탈취하도록 설계된 악성 Magecart 스크립트를 심고 있다고 밝혔습니다. "최근 브랜드 신발을 판매하는 사기성 사이트 수 백 곳에 신용카드 스키머가 삽입된 것을 확인했습니다. 이 사이트를 이용하는 쇼핑객들은 위조품을 받을 뿐만 아니라, Magecart 사기꾼들에게 개인 및 금융 정보를 내어 주게 됩니다.” 전문가들은 이러한 위조..

국내외 보안동향 2019. 12. 13. 11:28

Sodinokibi Ransomware Spreads via Fake Forums on Hacked Sites 공격자들이 악성코드 배포 방식으로 해킹된 사이트의 콘텐츠 위에 가짜 Q&A 포럼을 오버레이하는 새로운 배포 방식을 생각해 냈습니다. Sodinokibi 랜섬웨어 배포자는 워드프레스 사이트 다수를 해킹하여 원래 사이트의 콘텐츠 위에 가짜 Q&A 포럼 포스트를 표시하는 JavaScript를 주입하고 있는 것으로 나타났습니다. 가짜 포스트에는 사이트 관리자의 답변이 달려있는데, 여기에는 랜섬웨어 인스톨러로 연결되는 링크가 포함되어 있었습니다. 이 가짜 포럼 포스트는 관리자가 제공한 답변 및 링크가 진짜처럼 보이게 하기 위해 사용자가 방문한 페이지 내용과 관련된 정보를 포함했습니다. 그러나, 다운로드한..

국내외 보안동향 2019. 9. 3. 10:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 (2019년 05월 29일), '정리 해고 및 감면 목록'이라는 자극적인 메일 제목으로, 악성 파일을 포함한 피싱 메일이 유포되고 있어, 사용자들의 각별한 주의가 필요합니다. [그림 1] 해고 안내를 위장한 악성 피싱 메일 ESRC에서는 리플라이 오퍼레이터 조직이 해당 피싱 메일을 유포한 것으로 추정하고 있으며, 리플라이 오퍼레이터 조직은 지난 5월 28일에도 비슷한 유형의 악성 파일을 유포했습니다. [그림 2] 리플라이 오퍼레이터 조직이 유포한 피싱 메일 비교 이번에 발견된 피싱 메일에는 기존에 유포했던 피싱 메일에 사용한 동일한 도메인이 사용되었으며, 피싱 메일에 첨부된 압축 파일 해제 용도의 비밀번호를 본문에 첨부한 점이 동일합니다...

악성코드 분석 리포트 2019. 5. 29. 11:17