잉카인터넷 시큐리티대응센터 블로그

Formbook 악성코드 유포 주의 1. 개요 지난 2017년 10월경 미국과 국내에 항공, 국방, 제조 분야를 목표로 피싱 메일의 첨부파일을 통해 대량 유포되었던 ‘Formbook’ 악성코드가 최근까지도 활발하게 유포되고 있다. 해당 악성코드는 다크 웹에서 서비스 형 악성코드(MaaS)로 배포되고 있으며 현재 3.9 버전이 발견되어 지속적으로 버전 업그레이드가 되고 있는 정보 탈취형 악성코드 중 하나이다. 주로 피싱 메일의 첨부 파일을 통해 유포되며 정상프로세스에 인젝션되어 사용자의 계정 정보를 탈취하는 특징을 갖고있다. 이번 보고서에서는 ‘Formbook’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 견적 요청서와 관련된 피싱 메..

사용자 정보를 탈취하는 Sorano Stealer 1. 개요 최근, 사용자 정보를 탈취하는 악성 코드가 등장하였다. 기존의 Stealer 와 유사하지만, 안티바이러스 정보를 포함하여 소프트웨어 DB 정보와 스크린 사이즈 등 광범위한 데이터를 탈취한다. 이러한 악성 공격은 이차적인 피해를 유발할 수 있기 때문에 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Sorano Stealer 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Sorano Stealer 이 수행한 악성 동작에 대해 저장되어있는 ‘C:\ProgramData\debug.txt..

14.99 달러로 판매되는 Phoenix Keylogger 분석 보고서 1. 개요 최근 서비스형 맬웨어 형태로 배포되고 있는 “Phoenix Keylogger”가 발견되었다. 판매자는 다크웹에서 1달 정액제 14.99달러, 완전 구매가격은 78.99 달러로 판매하고 있으며, 해당 악성코드는 키로깅 뿐만 아니라 사용자의 중요한 개인정보를 탈취하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 개인정보를 탈취하는 “Phoenix Keylogger”에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Phoenix Keylogger”가 실행되면 사용자 시스템 구성 정보와 키로깅, 클립보드 정보를 수집하고, 가상 환경과 관련된 프로세스 및 파일의 존재 여부를 확인한다. 만약 가..

Raccoon Stealer 악성코드 분석 보고서 1. 개요 최근 해외 보안업체에 따르면 2019년 4월경에 ‘Raccoon Stealer’ 악성코드가 새롭게 발견되었다고 알려진다. ‘Raccoon Stealer’ 악성코드 제작자는 다크 웹 포럼에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 판매가 중단된 AZORult 악성코드의 대체용으로 사용된다고 알려진다. 이번 보고서에서는 ‘Raccoon Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 피싱 메일, 익스플로잇 킷을 통해 유포될 것으로 추정된다. 2-2. 실행 과정..

사용자의 중요 정보를 탈취하는 AZORult 분석 보고서 1. 개요 최근 활발히 활동 중인 AZORult는 주로 암호 화폐 지갑 정보와 사용자의 비밀번호 정보를 탈취하는 악성코드이다. 지난해 말 판매가 종료된 후, 올해 1분기에 C++로 재제작되어 유포되었다. 새로 유포된 버전은 기존에 사용하던 언어(Delphi)가 아닌 C++로 제작됐다는 점에서 ++버전으로 불린다. AZORult++ 버전이 기존과 다른 점은 원격 데스크톱 프로토콜(RDP) 설정이 추가됐다는 점이다. 아직 원격 데스크톱을 이용한 행위는 확인되지 않았지만, 정보 탈취와 함께 사용되면 많은 영향을 미칠 수 있음으로 주의가 필요하다. 이번 보고서에서는 출시 후 3년 동안의 유포 및 기능의 변화 과정과 올해 1분기에 발견된 AZORult++ ..

회계법인 송장 관련 피싱 메일 유포 주의 1. 개요 현재 송장 관련 내용으로 위장한 피싱 메일이 국내 기업 대상으로 유포되고 있어 주의가 필요하다. 이메일의 제목에는 국내 특정 기업을 사칭했으며 본문에는 악성 엑셀 파일을 다운받을 수 있는 링크가 포함되어있다. 2. 분석 정보 2-1. 분석 정보 2-2. 실행 과정 악성 엑셀 문서를 실행하면 다음과 같이 매크로를 사용하도록 유도하는 내용이 적혀있다. 만약 사용자가 엑셀 본문의 내용을 보기 위해 콘텐츠 사용 버튼을 클릭하면 악성 매크로가 실행되며 [그림 3]과 같은 로딩 창이 생긴다. 3. 악성 동작 3-1. 악성 파일 드롭 및 로드 악성 매크로가 실행되면 아래와 같이 파일들을 생성한다. ‘libProject.xlsx’에 임베디드된 ‘oleObject1.b..

다크웹에서 판매되는 Arcane Stealer 분석 보고서 1. 개요 최근 사용자 정보를 탈취하는 “Arcane Stealer”가 발견되었다. 현재 다크웹에서 소스코드와 함께 9달러 혹은 699루블로 판매되고 있으며, 사용자의 중요한 개인정보를 탈취한다. 해당 악성코드는 특정 목표를 대상으로 한 공격이 아닌 무차별적인 공격을 하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 개인정보를 탈취하는 “Arcane Stealer”에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Arcane Stealer”가 실행되면 브라우저, 파일, 시스템 정보 등 사용자의 다양한 개인정보를 수집 후 기록한다. 이후 해당 파일들을 ZIP 파일로 압축하여 C&C로 전송한 후 삭제한다. 3...

암호화폐 지갑 정보를 훔치는 InnfiRAT 주의 1. 개요 최근 해외 보안업체에 따르면 암호화폐 지갑 정보를 훔치는 ‘InnfiRAT’ 악성코드가 새롭게 발견되었다고 알려진다. 이외에도 ‘InnfiRAT’ 악성코드는 브라우저에 저장된 사용자의 계정 정보를 탈취하고 화면 캡처, 특정 프로세스 종료, 파일 다운로드 및 실행 기능이 포함되어있다. 이번 보고서에서는 ‘InnfiRAT’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드의 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 해당 악성코드를 실행하면 먼저 “%AppData%” 경로에 ‘NvidiaDriver.exe’ 파일명으로 자가 복제 및 실행한다. 실행된 ‘NvidiaDriv..

정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..

반송된 이메일로 위장한 이메일 웜 Mydoom 주의 1. 개요 이메일 웜은 과거에 만우절이나 크리스마스와 같은 특정 기념일에 이메일을 통해 대량으로 전파되었다. 이메일 웜에 감염된 PC는 이메일 웜이 첨부된 메일을 이메일 주소록에 있는 사람들에게 자동으로 재전송 하도록 되어있어 단시간에 다량으로 확산 시켜 피해를 유발한다. 또한 ‘Mydoom’ 이메일 웜은 2004년경에 발견되어 현재까지 유포되고 있다고 알려진다. 이번 보고서에서는 문서형 ‘Alcoul’ 이메일 웜을 통해 이메일 웜의 동작 방식을 알아보고, 최근 유포 중인 ‘Mydoom’ 이메일 웜의 악성 동작에 대해 알아본다. 2. Email-Worm: Alcoul 2-1. 파일 정보 3-2. 실행 과정 및 악성 동작 ‘Alcoul’ 이메일 웜은 문서..