잉카인터넷 시큐리티대응센터 블로그

온라인 체스 게임, 음악 스트리밍 등 합법적인 서비스를 제공하는 것처럼 위장한 광고를 통해 정보탈취형 악성코드인 Ficker Stealer가 유포되었다. Ficker Stealer 악성코드는 2020년부터 러시아어를 사용하는 포럼에서 판매되고 있으며, 이를 구매한 공격자들이 다양한 방법으로 해당 악성코드를 유포하고 있다. 이번에 발견된 사례 이외에도 최근까지 RIG Exploit Kit과 Hancitor 악성코드를 통해 유포되었다. 이번에 발견된 유포 사례의 경우 공격자들은 온라인 체스 프로그램 및 음악 스트리밍 서비스를 광고하고 있으며, 사용자가 광고를 클릭하면 Microsoft Store 및 Spotify (음악 스트리밍 프로그램)로 위장된 사이트로 연결된다. 이후 사용자가 위장된 사이트에서 파일을 ..

Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans, RAT) 악성코드로, 2019년 8월경 “Cisco Talos”에서 “소비자 보호 단체 BBB(Better Business Bureau)”를 사칭한 피싱 이메일의 첨부 파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸다. (출처: https://blog.talosintelligence.com/2019/08/rat-ratatouille-revrat-orcus.html) 또한 2019년 12월경, 캐나다 라디오·TV 전기통신위원회 CRTC(Canadian Radio-television and Telecommunication Commission)에서 Orcus RAT 악성코드 제작자..

Introduction 올해 1월 해외 보안기업 I사는 ElectroRAT 캠페인을 공개했습니다. 이 캠페인의 악성코드는 GO 언어로 제작되었으며 Windows 뿐만 아니라, MacOS, Linux용 악성 파일을 배포하였습니다. 2020년 1월부터 활동한 것으로 추정되고 있는 이 캠페인은 정상적인 SW프로그램처럼 보이기 위해 독립적인 홈페이지를 구축하고, SNS와 암호화폐 커뮤니티에 정상 프로그램으로 홍보하여 설치를 유도하였습니다. 현재까지 알려진 FakeAPP은 암호화폐 거래 관리용 프로그램인 “eTrader”와 “Jamm”, 암호화폐를 사용하여 포커를 할 수 있는 ”DaoPoker”가 있으며, 해당 파일들은 NSIS포맷의 설치파일로 내부에 FakeApp과 백도어 기능을 수행하는 ElectroRAT으로..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..

2020년 “인천광역시 코로나바이러스 대응 긴급 조회”라는 제목의 악성 한글 문서가 발견되었다. 해당 한글 문서는 코로나 19 바이러스와 관련된 내용으로 공공기관을 사칭하여 유포되었는데, 사용자가 정상 문서처럼 위장한 내용에 속아 악성 한글 문서를 실행한다면 문서에 삽입된 EPS(Encapsulated PostScript)를 통해 “CRAT” 악성코드를 다운로드하고 사용자의 정보를 탈취한다. 한글 프로그램에서는 그래픽 이미지를 화면에 표현하기 위해 EPS 파일을 사용한다. 공격자들은 한글 문서에 악성 EPS 파일을 삽입하고, EPS 파일이 9.21 이하 버전의 인터프리터(gbb.exe, gswin32c.exe)를 통해 실행되는 과정에서 발생하는 CVE-2017-8291 취약점을 이용하여 악성 동작을 수행..

1. 개요 및 분석 정보 1-1. 개요 최근 디스코드에서 제공하는 웹훅을 악용하여 디스코드 사용자의 데이터를 훔치는 “TroubleGrabber” 악성코드가 발견되었다. 디스코드(Discord)는 게임상에서 음성 채팅을 위해 제작된 프로그램으로 약 2억 명 이상의 사용자가 있으며, 자체적으로 웹훅(Webhook) 기능을 제공한다. 웹훅은 서버에서 작업이 발생했을 때 그 정보를 외부에 전달하는 방식을 의미하며, 디스코드에서는 이 기능을 이용하여 원하는 정보를 메시지로 받을 수 있다. 이번에 발견된 "TroubleGrabber"는 디스코드에서 제공하는 웹훅을 악용하여 사용자 PC에서 정보를 탈취하는 데 사용하며, 추가로 특정 버전에서는 디스코드 클라이언트 파일을 수정하여 사용자가 로그인할 때마다 공격자에게 ..

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다. 해당 악성코드가 실행되면, 정상 PDF Reader Installer을 드롭하고 실행한다. 정상 Install 파일의 화면을 띄우고, 악성 자바 스크립트 파일을 드롭 및 실행한다. 해당 스크립트 파일은 난독화 되어있어 일반 사용자는 파일 내용을 확인하기 힘들도록 한다. 아래의 빨간색 상자는 인코딩된 메인 코드이다. 인코딩된 메인 코드를 base64로 디코딩하면 다음과 같은 스크립트를 확인..

지난 2019년에 최초로 등장한 ‘Matiex Keylogger’가 최근 다시 모습을 드러내고 있다. 해당 악성코드는 유료 악성코드로서 온라인에서 판매 중이며, 사용자의 개인정보를 탈취하는 등 다양한 악성 동작을 보유하고 있어 주의가 필요하다. 이번 보고서에서는 ‘Matiex Keylogger’ 의 주요 악성 동작에 대해 알아본다. 해당 악성코드는 사용 가능한 기간에 따라 가격대는 다양하며, 누구나 쉽게 접할 수 있도록 설계되어있다. ‘Matiex Keylogger’가 실행되면 사용자의 PC 정보를 획득한 뒤, 텍스트 파일로 생성한다. 위와 같이 생성된 파일의 내용을 C2 서버에 전송한다. 사용자 PC의 정보를 탈취한 뒤, 다양한 사용자 계정 정보를 탈취한다. Outlook 을 사용중인 사용자라면 아래의..

Trickbot 악성코드는 모듈형 악성코드로 로더와 모듈이 존재한다. 로더는 악성 모듈을 다운받고 실행하는데, 과거에 Trickbot악성코드는 금융 정보를 탈취하는 기능을 가진 악성 모듈이 유포되어 Banker 악성코드로도 유명하다. 현재 유포되는 모듈 중에는 웹 브라우저에 저장된 사용자 계정 정보를 탈취하기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘Trickbot’ 악성코드의 주요 악성 동작에 대해 알아본다. 해당 악성코드는 먼저 “%AppData%/TimeEr” 폴더를 생성하고 로더의 설정 파일을 생성한다. 생성된 설정 파일은 C2 서버 목록이 존재하며, C2 서버와 연결이 될 경우 “%AppData%/TimeEr/Data” 폴더에 암호화된 악성 모듈과 모듈의 구성 파일을 함께 생성한다...

지난 8월 중순, Anubis Stealer가 등장하였다. 해당 악성코드는 사용자의 PC에 저장된 정보를 탈취할 뿐 아니라, C&C 서버와 연결하여 탈취한 정보를 송신하고, 파일을 다운로드 하는 등의 동작을 하여 2차 피해가 발생할 수 있기에 주의가 필요하다. 이번 보고서에서는 Anubis Stealer의 동작에 대해 알아보고자 한다. Anubis Stealer는 사용자 PC에 대한 정보를 비롯한 브라우저 정보 등을 탈취하여 ‘AX7574VD.tmp’ 디렉토리에 저장한다. 악성코드가 시작되면 가장 먼저, 현재 웹캠과 모니터 화면을 캡처한다. 하기의 이미지, 표와 같이 사용자 PC에 저장되어 있는 다양한 정보를 탈취한다. FileZilla 브라우저에서 사용자 비밀번호와 사용자가 사용하는 사이트의 정보를 탈..