분석 정보874 소스코드가 공개된 EnemyBot 악성코드 과거 “Mirai”, “Qbot” 과 같은 봇넷 악성코드의 소스코드가 공개된 바 있다. 이러한 이유로 해당 악성코드들의 소스코드를 사용한 변종 악성코드들이 현재까지 지속적으로 발견되고 있다. 올해 상반기에도 “EnemyBot” 라는 악성코드가 발견 되었는데, 살펴 본 결과 해당 악성코드 또한 기존 소스코드를 사용한 것으로 확인되고 있다. 그래서 “EnemyBot” 을 비롯한 변종 악성코드들은 “Mirai”, “Qbot” 악성코드와 많은 공통점을 가지며, 실행 시 취약한 기기를 감염시켜 DDoS 공격을 수행한다. 공개된 소스코드 “EnemyBot” 악성코드는 소스코드와 함께 발견 되었는데, 게시자는 스스로를 “Kek Security” 소속의 악성코드 개발자라고 밝히고 있다. “Kek Security” 는 .. 2022. 11. 4. 카드 정보 탈취하는 은행 사칭 앱 최근 은행으로 위장하여 정보 탈취를 시도하는 앱이 다량 발견되었다. 그 중 CITI은행을 사칭한 앱은 정상 앱과 유사한 UI로 사용자를 속여, 각종 개인 정보와 카드 정보를 입력하도록 한다. 그리고 원격지와 통신하여 입력한 정보를 탈취한다. 악성 앱을 실행하면 다음과 같은 화면이 나타난다. 입력 칸에 10자리의 전화번호를 입력하면 해당 정보를 원격지에 전송한다. 정상적으로 원격지와 통신이 되면, 악성 동작이 시작된다. 분석 시점에는 원격지와 통신이 되지않지만, 통신이 된다면 좌측 하단의 화면을 띄운다. Apply Now 버튼을 누르면 사용자의 정보를 입력하는 화면이 나타난다. 해당 화면에서 정보를 입력하고 Proceed 버튼을 누르면 해당 정보는 원격지로 전송된다. 인도의 식별번호인 Aadhar numb.. 2022. 11. 3. 암호화폐 앱을 사칭한 정보 탈취 앱 암호화폐 앱을 사칭한 정보 탈취 앱 미국의 유명 암호화폐 회사인 Coinbase를 사칭한 악성 앱이 발견되었다. 해당 앱은 ‘CoinbaseUpdate’라는 이름으로 유포되었으며, 정상 Coinbase 앱과 유사한 모습을 하고 있다. 하지만 악성 앱을 실행하면, 단말기의 문자 메시지와 스크린샷 등 각종 정보를 탈취한다. 좌측 하단의 그림은 Google Play에서 정상적으로 판매중인 Coinbase 앱이고, 우측의 그림은 유포된 악성 앱의 정보로 아이콘과 이름이 유사한 것을 볼 수 있다. 악성 앱을 실행하면, 아래와 같이 권한을 요구한다. 사용자가 해당 권한을 부여하면 이후 필요한 권한에 대해서는 악성 앱에서 화면을 제어하여 자체적으로 획득한다. 아래의 그림과 같이 원격지와 연결을 시도한다. ‘Googl.. 2022. 10. 17. 멀티 쓰레드 통신 방법으로 암호화하는 BlueSky 랜섬웨어 최근 “BlueSky” 랜섬웨어가 새롭게 등장했다. 해당 랜섬웨어는 “Conti”, “Babuk” 랜섬웨어와 유사한 암호화 루틴을 갖고있다. 또한, 주로 윈도우 호스트를 대상으로 하여 더 빠른 암호화를 위해 멀티 쓰레딩 기법을 사용하는 특징이 있다. (멀티 쓰레딩 : 다량의 쓰레드를 생성해 각자 역할을 할당하고, 동시 다발적으로 동작을 수행하여 효과적이고 빠른 암호화를 수행할 수 있다.) “BlueSky” 랜섬웨어는 사용자 PC에 적용된 모든 드라이브 대상으로 암호화를 수행하고, 랜섬노트를 드랍한다. 랜섬노트에는 암호화된 파일을 빌미로 금전을 요구한다. Analysis “BlueSky” 랜섬웨어는 실행 시, 32바이트의 랜덤 값으로 이루어진 이름의 뮤텍스를 생성한다. 이후, 해당 32바이트의 랜덤 값으로.. 2022. 10. 5. BlackBasta 랜섬웨어 리눅스 버전 Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상.. 2022. 9. 30. 베트남 은행 위장 악성 앱 유포 최근 베트남의 은행서비스를 위장한 악성 앱이 유포되었다. 해당 악성 앱은 정상 사이트를 위장한 웹 사이트를 통해 유포되었으며, ‘BestPay VN’이라는 이름으로 설치된다. 설치된 악성코드는 정상적인 은행 서비스 앱으로 보이지만, 스크립트를 통해 입력한 사용자 정보를 탈취한다. 베트남어로 제작된 웹 사이트에서 Google Play 다운로드로 보이는 버튼을 누르면 악성 앱이 다운로드된다. 실제 Google Play 스토어가 아닌 경로에서 앱이 설치된다. 설치된 앱은 아래의 그림과 같이 회원가입을 요구하고, 개인정보 입력을 유도한다. 사용자가 입력한 정보는 아래와 같이 원격지로 전송된다. 그 외에도 단말기로 수신되는 SMS 메시지의 내용과 수신지 정보를 탈취하여 원격지에 전송하는 등의 악성 동작을 수행한다.. 2022. 9. 23. 이전 1 ··· 10 11 12 13 14 15 16 ··· 146 다음
