잉카인터넷 시큐리티대응센터 블로그

애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의 1. 개요 최근 애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일이 유포되고 있다. 2018년 하반기, 애플을 사칭하여 사용자 계정정보를 탈취하는 메일이 유포 된 적이 있으나 최근에 다시 등장하여 사용자의 주의를 요한다. 해당 메일은 애플 제품의 구매 확인서를 사칭해서 pdf 파일을 첨부 하고 있으며 피싱사이트로 유도하여 사용자 정보를 노린다. 이번 보고서에는 최근에 발견 된 애플을 사칭한 피싱 메일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Invoice Receipt #4658421.pdf 파일크기 684,668 bytes 진단명 Trojan/W32.Pidief.684668.E 악성동작 사용자 계정..

저장된 로그인 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 웹 브라우저, 이메일 클라이언트 로그인 정보를 탈취하는 악성코드가 지속적으로 유포되고 있다. 사용자 PC에 저장된 로그인 정보를 수집하기 위해 패스워드 뷰어 프로그램을 악용하고 있으며, 백신 프로그램을 우회하고 사용자 모르게 악성파일을 다운받기 위해 hta 파일을 이용한다. 이번 보고서에서는 저장된 로그인 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 8,358 bytes 진단명 Trojan-Exploit/RTF.2017-11882 악성동작 악성코드 다운로드 구분 내용 파일명 PES.exe 파일크기 1,362,576 bytes 진단명 T..

광고성 스팸메일을 발송하는 악성코드 주의 1. 개요 광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다. 이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 223,744 bytes 진단명 Trojan/W32.Spamer.223744 악성동작 광고성 스팸메일 발송 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유..

트위터 이미지 이용한 악성 프로그램 감염 주의 1. 개요 얼마 전 트위터에 업로드한 이미지를 활용하여 악성 동작 명령을 받는 악성 프로그램이 발견되었다. 이 프로그램은 특정 트위터 계정의 이미지를 다운로드한 후, 이미지 내부에 저장된 명령을 추출하여 그에 따른 악성 동작을 실행한다. 문제가 되는 계정은 현재 정지된 상태지만 유사한 방식으로 동작하는 프로그램의 존재 가능성이 있기 때문에 주의가 필요하다. 이번 보고서에서는 트위터 이미지를 이용한 악성 프로그램의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 svghost.exe 파일크기 35,840 bytes 진단명 Trojan-Dropper/W32.DN-InfoStealer.35840 악성동작 파일 드랍 및 프로세스 ..

사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다. 이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 263,533 bytes 진단명 Trojan-Exploit/RTF.CVE-2017-11882 악성동작 다운로더 구분 내용 파일명 INVOICE.exe 파일크기 115,200 bytes 진단명 Trojan-PSW/W32.DP-infoStealer.11520..

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..

경고 메시지 없이 실행되는 MS 워드 비디오 삽입 취약점 주의 1. 개요 최근 한 보안회사에서 마이크로소프트 社의 워드 문서에서 제공하는 비디오 삽입 기능을 악용하여 악성코드를 실행하는 취약점을 발견했다. 해당 취약점을 이용한 공격은 악성코드 실행 과정에서 오류 및 경고 메시지를 출력하지 않기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 MS Office 문서 파일의 비디오 삽입 기능을 악용한 악성 동작에 대해 알아보고자 한다. 2. 취약점 정보 2-1. 버전 정보 영향 받는 버전 Microsoft Office 2016 Microsoft Office 2013 3. 악성 동작 과정 3-1. 개요 이번 취약점은 공격자가 정상적인 비디오를 삽입한 후 관련된 설정을 마음대로 수정할 수 있다는 점과 워드에..

KONNI Malware의 변종으로 알려진 NOKKI Malware 주의 1. 개요 ‘NOKKI’는 지난 ‘KONNI’ 악성코드와 유사점이 존재하여 붙여진 이름이다. 유사점으로는 사용자의 PC 정보를 수집하는 코드와 문서를 만드는 기능, 그리고 피싱 메일을 통해 유포된다는 점이다. 사용자가 피싱메일에 첨부된 가짜 문서를 열람할 경우 악성코드가 실행되게 되어 있어 주의가 필요하다. ‘KONNI’의 경우 북한과 관련된 내용의 가짜 문서로 첨부파일의 열람을 유도하였고, ‘NOKKI’ 악성코드는 러시아 외무부(МИД России)라는 파일명으로 열람을 유도하였다. 지난 1월에는 캄보디아와 관련된 내용의 가짜 문서로 공격한 사례가 있으며 지속적해서 변종이 만들어지고 있다. 이번 보고서에서는 ‘NOKKI’ 악성코드..

유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의 1. 개요 Epic Games 社에서 개발한 유명 게임 포트나이트가 새로운 시즌을 맞이하면서, 이와 관련된 악성 파일 유포도 활발해지고 있다. 이전부터 포트나이트 치팅 프로그램으로 위장한 악성 프로그램은 많았지만 대부분 게임 아이디, 패스워드, 등의 정보를 수집하는 정도였다. 이번에 발견된 샘플은 비트코인 지갑 등 민감한 정보를 다수 수집하기 때문에 특히 주의가 필요하다. 이번 보고서에서는 포트나이트 치팅 프로그램으로 위장한 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 HyperCheats by eblanich hack (work).exe 파일크기 171,520 bytes 진단명 Download..

사용자 PC 정보를 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 내용은 사진 파일 아이콘(.JPEG 형태)을 사용하여 위장한 정보탈취형 악성코드에 대한 내용이다. 대부분의 PC 사용자들이 확장자 보다는 아이콘을 보고 파일을 실행하는데, 이 점을 노려서 이와 같은 형식으로 유포하고 있는 것으로 보인다. 위장 된 악성코드를 사진 파일로 착각하여 실행 할 경우 감염된 PC 정보 탈취 뿐만 아니라 공격자에게 전달받은 명령을 통해서 추가적인 악성동작을 수행하게 되는데, 각각의 추가 기능에 특정 캐릭터 이름을 붙여놓아 변칙적으로 수행하는 점을 통해서 이전에 해외에 등장했던 악성코드의 변종으로 추정된다. 악성코드가 가지고 있는 기능중에는 추가 악성파일을 다운받아 실행하는 기능이 포함되어 있어 2차..