본문 바로가기

악성코드17

[AhnLab보안이슈]갑자기 미국 은행에서 입금? 악성코드 조심하세요! 갑자기 미국 은행에서 입금? 악성코드 조심하세요! AhnLab 2021-07-28 안랩이 최근 미국의 유명 은행 ‘BOA(Bank of America)’의 ‘입금 확인 요청’ 자동 메일로 위장해 원격제어 악성코드를 유포하는 사례를 발견했다. 메일에 첨부된 악성 엑셀 파일의 ‘콘텐츠 사용’ 클릭 시 사용자 정보를 탈취할 수 있는 원격제어도구인 ‘Remcos RAT’ 악성코드에 감염된다. 먼저 공격자는 BOA의 자동발송 메일로 위장하기 위해 메일 주소에 ‘donot_reply(회신금지)’를 쓰고 BOA의 이름을 사용한 악성 엑셀파일을 첨부했다. 메일 본문에는 “당신의 계좌에 $9849가 전자자금이체(EFT, Electronic Fund Transfer) 방식으로 지급됐다. 자동 발송 메일이니 회신하지 말고 .. 2021. 7. 29.
[AhnLab보안이슈]주의! 매크로 실행 이미지를 클릭했을 뿐인데… 주의! 매크로 실행 이미지를 클릭했을 뿐인데… AhnLab 2021-07-14 ASEC은 엑셀(Excel) 4.0 매크로를 이용한 악성 엑셀 파일이 지속적으로 유포 중임을 확인했다. 해당 악성코드는 지난 5월 불특정 다수에게 메일을 통해 유포된 적이 있으며, 현재까지 다수 확인되고 있어 사용자의 주의가 필요하다. 유포 중인 악성 엑셀 파일 내부에는 매크로 실행을 유도하는 이미지가 포함되어 있다. [그림 1]은 현재 유포중인 파일에서 사용된 이미지이다. [그림 1] 내부 이미지 모음 해당 악성코드는 이름 관리자에 Auto_Open으로 특정 셀을 설정하여 매크로 실행 시 셀에 있는 수식이 자동으로 실행되어 악성 행위를 수행한다. 수식은 주로 숨겨진 시트에 존재하며, 수식이 있는 셀의 열을 숨김 처리하여 해당.. 2021. 7. 15.
[AhnLab보안이슈]악성 워드 공격, 해커는 같은 방법을 택하지 않는다 악성 워드 공격, 해커는 같은 방법을 택하지 않는다 AhnLab 2021-07-07 많은 사용자들의 일상에 자리잡은 워드(WORD), 해당 파일을 활용한 공격은 지속적으로 변화를 거듭하며 발전하고 있다. ASEC은 그 동안 지속적으로 관련 공격들을 소개해왔으며, 최근에도 여러 공격들을 포착해 분석을 진행했다. 이번 글에서는 악성 워드 매크로를 활용한 최신 공격에 대해 알아본다. 계속되는 악성 워드 문서 유포 ASEC은 지난 6월 9일과 6월 30일, 블로그 게시물을 통해 각각 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드(WORD) 문서 악성코드가 유포 중임을 소개했다. 이후 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 악성 워드.. 2021. 7. 9.
[AhnLab보안이슈]불법 음란물로 위장한 정보 탈취 악성코드 유포중 불법 음란물로 위장한 정보 탈취 악성코드 유포 중 AhnLab 2021-06-16 ASEC 분석팀은 최근 디스코드 메신저를 통해 불법 음란물로 위장한 정보 탈취 악성코드가 유포 중인 것을 확인했다. 이 악성코드는 디스코드 API를 이용해 탈취한 정보를 공격자에게 전달한다. 이번 글에서는 디스코드 메신저를 통해 유포 중인 악성코드의 공격 방법에 대해 알아본다. 악성코드를 유포하는 디스코드 서버에서는 [그림 1]과 같이 불법 성인물이 판매 및 유통된다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 ‘무료야동’ 채널에 압축파일을 업로드하고 사용자들의 실행을 유도한다. [그림 1] 악성코드를 유포하는 불법 성인물 디스코드 채널 채널에 업로드된 압축파일 ‘run_2.zip’을 풀면 run.exe 실행파일을.. 2021. 6. 18.
[AhnLab보안이슈]디지털 세상에도 거리두기가 필요한 이유 디지털 세상에도 거리두기가 필요한 이유 AhnLab 2021-06-02 코로나19가 흔한 일상의 모습들을 많이 바꿔 놓았다. 그 중 대표적인 것이 바로 ‘사회적 거리두기’이다. 코로나 확산을 방지하기 위해 사람과의 접촉을 줄이자는 게 사회적 거리두기의 목적이다. 사람들과 접촉할 수 있는 모든 기회, 즉 기업이나 학교, 종교 단체, 각종 모임 등에서 물리적 거리를 둠으로써 접촉 자체를 줄이는 것이다. 그런데 최근에는 사회적 거리두기 못지 않게 ‘디지털 거리두기’를 실천해야 한다는 주장이 설득력을 얻고 있다. 디지털 거리두기가 무엇인지, 그리고 디지털 거리두기를 실천하는 방법에 대해 살펴본다. # 중학생 아들 둘을 둔 학부모 A씨는 요즘 새로운 고민에 빠졌다. 코로나19로 원격수업이 장기화되면서 아이들이 학.. 2021. 6. 15.
[AhnLab보안이슈]모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! 모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! AhnLab 2020-12-02 ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포되는 것을 확인했다. 해당 메일은 실제 발송된 정상 메일을 활용해 사용자가 악성 여부를 인지하지 못하도록 해 각별한 주의가 요구된다. 악성코드 유포자들은 매크로 시트를 활용한 방식을 자주 사용해오고 있다. 지난 10월 유포된 Qakbot 악성코드에도 이 방법이 사용된 바 있다. *참고 문서: 급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb) 아래 그림은 악성코드 유포에 활용된 피싱 메일이다. 이메일에 한국어가 사용된 점을 볼 때 공격 대상에 국내 사용자들도 포함된 것으로 추정된다... 2020. 12. 3.
[AhnLab보안이슈]정상 문서 파일로 위장한 악성코드 주의하세요 정상 문서 파일로 위장한 악성코드 주의하세요 AhnLab 2020-09-09 안랩 ASEC 분석팀은 사이버 공격 조직 ‘김수키’(Kimsuky) 그룹의 소행으로 보이는 악성코드 유포 정황을 다수 확인했다. 김수키 그룹은 과거 국내 기관을 대상으로 한 공격의 유력한 배후로 잘 알려져 있다. 김수키 그룹이 유포한 것으로 추정되는 악성코드는 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장해 배포되고 있다. 해당 악성코드는 감염된 PC에서 정상 문서 위장 파일 드롭 및 실행, 정보 탈취, 추가 악성코드 등을 수행하며, 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 활용된다. 유포 파일 명(배포일) - 4.[아태연구]논문투고규정.docx.exe (2020/08/20)- Butt.. 2020. 9. 15.
[Ahnlab 보안이슈]부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? 부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? AhnLab 2020-07-01 안랩 시큐리티대응센터(이하 ASEC)는 2020년 6월 22일부터 28일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 최근 일주일 동안 급부상한 악성코드는 무엇일까? 이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동.. 2020. 7. 20.
[AhnLab보안이슈] 6월 둘째 주 악성코드 Top 5 6월 둘째 주 악성코드 Top 5 AhnLab 2020-06-17 2020년 6월 둘째 주, 국내에서 가장 많이 수집된 악성코드는 사용자 정보를 유출하는 인포스틸러(Infostealer)에 속하는 에이전트테슬라(AgentTesla)인 것으로 나타났다. 안랩 시큐리티대응센터(이하 ASEC)은 2020년 6월 8일부터 14일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. ASEC의 분석 결과에 따르면 대분류 상으로는 인포스틸러 악성코드가 56.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 15.4%, 원격 관리 도구(RAT)를 악용한 악성코드가 11.2%를 차지했다. 이어 랜섬웨어와 뱅킹 악성코드는 각각 8.2%, 7.5%로 그 뒤를.. 2020. 6. 24.
[AhnLab보안이슈]'윈도우 정품 인증' 위장한 악성코드 주의! ‘윈도우 정품 인증’ 위장한 악성코드 주의! AhnLab 2020-06-10 최근 윈도우 정품 인증 툴로 위장한 악성코드가 유포되고 있어 사용자의 각별한 주의가 요구된다. 안랩은 ASEC 블로그를 통해 비다르(Vidar) 인포스틸러(Infostealer) 악성코드가 KMSAuto, KMSPico 등과 같은 툴을 위장해 유포되고 있다고 밝혔다. '인포스틸러(Infostealer)'류의 악성코드는 감염 시스템의 로그인 계정 정보와 웹 브라우저, FTP 등의 응용 프로그램에 대한 정보를 탈취하는 것을 의미한다. 비다르가 악용한 KMSAuto, KMSPico는 윈도우 정품 인증을 위한 불법 인증 툴로서 다수의 일반 사용자들이 인터넷에서 다운로드해서 많이 사용하는 프로그램이다. 사용자들은 윈도우 정품 인증을 목적.. 2020. 6. 11.
[AhnLab]직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 AhnLab 2019-10-23 최근 국내 기업의 임직원을 노린 악성코드가 잇따라 발견되고 있다. 업무나 급여 등 다양한 내용으로 임직원의 관심을 끄는 것은 물론, 악성 파일을 다운로드하는 방식에도 계속 변화를 주고 있어 각별한 주의가 요구된다. 기업 임직원을 타깃으로 하는 악성코드가 새삼스러운 것은 아니지만, 지난 10월 중순부터 연달아 유포되고 있다는 점은 관심 가질 필요가 있다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 블로그를 통해 공개한 지난 10월 중순의 사례들의 공통점과 변화를 요약했다. 직장인이라면 익숙한 용어와 파일 우선, 최근 사례는 모두 스팸 이메일을 이용하.. 2019. 10. 24.
[AhnLab]가상화폐 채굴 악성코드, 또다시 불법 공유 사이트에 등장 가상화폐 채굴 악성코드, 또다시 불법 공유 사이트에 등장 AhnLab 2018-03-21 최근 불법 스트리밍 동영상 사이트를 통해 사용자 몰래 가상화폐를 채굴하는 사례가 발견됐다. 특히 이번 공격은 웹어셈블리(WebAssembly) 스크립트를 사용하고 있는 것으로 확인됐다. [그림 1]은 국내 사용자들이 주로 이용하는 불법 동영상 공유 사이트이다. [그림 1] 동영상 공유 사이트 해당 사이트의 메인페이지에는 악성 스크립트가 삽입되어 있지 않으나 영상을 보기 위해 게시물을 클릭하면 악성 스크립트가 로드된다. 실행된 스크립트는 사용자의 자원을 이용해 가상화폐를 채굴한다. 이번 공격의 주 목적은 가상화폐 채굴을 위한 자원을 탈취하는 것이다. 때문에 공격자는 자바 스크립트(JavaScript)가 아닌 빠른 속도.. 2018. 3. 22.
[보안뉴스]가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! 가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! 가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! AhnLab 2018-02-07 연일 가상화폐(또는 암호화폐, Cryptocurrency)가 이슈다. 많은 사람들의 이목이 집중된 것은 악의적인 공격자의 관심을 끌기 마련. 최근 국내 온라인 커뮤니티 사이트의 가상화폐 관련 게시판에 악성 스크립트가 삽입된 글이 게시된 사례가 확인돼 사용자의 각별한 주의가 요구된다. 공격자는 유명 온라인 커뮤니티 내 가상화폐 관련 주제 게시판에 악성 스크립트를 삽입한 게시물을 올렸다. 사용자가 해당 게시물을 열면 드라이브-바이-다운로드(Drive-by-download) 방식에 의해 악성코드에 감염된다. ‘드라이브-바이-다운로드’ 방식이란 사용자가 직접적으로 악성코드를.. 2018. 2. 8.
[보안지식]한국인터넷진흥원 - 보호나라 소개(PC원격점검, PC보안업데이트, 바이러스백신) 1. 원격점검 서비스 원격점검 서비스란? 해킹 및 바이러스 등의 피해를 입었으나 스스로 해결이 불가능한 경우 상담원이 직접 상담자의 PC에 접속하여, 악성코드(해킹툴, 바이러스, 스파이웨어 등)를 제거하고 보안관련 기본사항을 점검해 주는 무료 서비스 입니다. ※ 삼담 및 문의는 국번없이 118 원격 점검 서비스 시간 : (평일) 09:00 ~ 17:00 까지 ->원격점검 신청하기온라인 검사 ② 점검일시 확인(전화) -> ③ 원격 점검 서비스(온라인) -> ④ 서비스만족도조사(메일) ※ PC 원격점검 서비스는 정보보호 인식이 부족하고, 보안이 취약한 민간부문의 일반 이용자를 위한 서비스 입니다. 기업 이용자, 공공기관, 관공서, 공기업 등은 본 서비스 대상에서 제외되므로, 사내 및 기관내 PC보안 및 유지.. 2015. 3. 29.
온라인 무료백신 터보백신 온라인 TurboVaccine Online 인터넷 상에서 간편하게 바이러스, 악성코드를 검사 할 수 있습니다.설치 없이, 제한 없이 바이러스, 악성코드 검사가 가능합니다. -> 터보백신 Online 바로가기 2014. 9. 17.