2023/04/07 5

피싱 메일을 통해 유포되는 DarkCloud 악성코드

새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다. 이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다. 이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer https://bl..

파일 변환 도구로 위장한 ImBetter Stealer 악성코드

최근, 파일 변환 도구로 위장한 "ImBetter Stealer" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 온라인 파일 변환 사이트로 위장한 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드는 감염 시스템의 언어 코드 식별자(LCID)를 확인해 러시아어 사용자가 아닐 경우, 공격자의 C&C 서버와 연결을 시도한다. 이후, 피해자 PC의 스크린샷과 브라우저 로그인 데이터 및 암호화폐 지갑 정보 등의 데이터를 탈취한다. 사진출처 : Cyble

신용카드 정보를 탈취하는 R3NIN Sniffer 악성코드

최근, 신용카드 정보를 탈취하는 "R3NIN Sniffer" 악성코드가 발견됐다. 보안업체 Cyble에 따르면, 이 악성코드는 JavaScript로 작성됐으며, 러시아의 사이버 범죄 포럼에서 판매되고 있다고 알려졌다. 해당 악성코드에 감염된 웹 서버에서 결제를 진행할 경우, 결제 정보 입력을 요청하는 가짜 창을 띄워 사용자로부터 정보 입력을 유도한다. 이후, 피해자가 입력한 카드 번호와 핸드폰 번호 및 이메일 등의 테이터를 탈취한다고 밝혀졌다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.28) - R3NIN Sniffer Toolkit – An Evolving Threat to E-commerce Consumers https://blog.cyble.com/2023/02/28/r3nin..

다크웹에서 판매되는 Stealc 인포스틸러

최근, 텔레그램과 사이버 범죄 포럼에서 “Stealc”라는 새로운 인포스틸러 악성코드가 판매되는 정황이 발견됐다. 공격자는 유튜브에 크랙 소프트웨어로 위장한 “Stealc” 악성코드의 설치 방법을 설명하는 영상과 다운로드 링크를 업로드해 설치를 유도한다고 알려졌다. 해당 악성코드는, sqlite3.dll 등의 정상 DLL 파일을 다운로드해 사용자 데이터를 수집하는 등의 악성 행위에 사용한다. 최종적으로, 텔레그램 등의 메신저와 웹 브라우저 및 암호화폐 지갑에서 사용자 데이터를 탈취한 뒤, 탐지를 피하기 위해 다운로드한 DLL 파일과 악성코드 원본을 자가 삭제한다. 출처 [1] Sekoia (2023.02.20) - Stealc: a copycat of Vidar and Raccoon infostealer..

가짜 블루 스크린 창을 띄우는 악성코드

최근, 가짜 블루 스크린 창을 띄워 사용자를 속이는 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 비디오 플레이어 아이콘으로 위장하고 있으며, 성인 사이트로 위장한 악성 페이지에서 유포된다고 알렸다. 해당 악성코드를 실행할 경우, 가짜 블루 스크린 창과 기술 지원 센터로 위장한 전화번호를 띄워 사용자로부터 공격자에게 연락하도록 유도한다고 알려졌다. Cyble은 의심스러운 사이트 접속을 피하고 알 수 없는 사이트에서 파일을 다운로드하지 않을 것을 권고했다. 사진출처 : cyble 출처 [1] Cyble (2023.02.28) - Blue Screen of Death Scams Target Users Visiting Fake Adult Sites https://blog.cyble.com/2023..