분석 정보874 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 FBI가 2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다. (사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf) 이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 “도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고”라는 주제를 파일 명으로 사용했다. 파일 명 : [至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다. 사용자 PC에서 이뤄지는 삭제 명령은 ‘사용자 폴더’ 하위의 모든 파일 및 폴더 중 [표 1]의 확장자를 지닌 파일을 대.. 2021. 7. 28. [주간 랜섬웨어 동향] – 7월 3주차 잉카인터넷 대응팀은 2021년 7월 16일부터 2021년 7월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "MiniWorld" 외 4건, 변종 랜섬웨어는 "Dharma" 외 3건이 발견됐다. 또한, VMware의 ESXi 플랫폼을 대상으로 공격하는 "HelloKitty" 랜섬웨어의 변종이 등장했다. 2021년 7월 16일 Dharma 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].DLL" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. Stop 랜섬웨어 파일명에 ".zzla" 확장자를 추가하고 "_readme.txt"라는 랜섬노트.. 2021. 7. 23. 안전 모드에서 실행되는 Crackonosh 코인 마이너 2018년에 처음 발견된 "Crackonosh" 악성코드가 최근 불법 게임 크랙판과 함께 유포되고 있다. "Crackonosh" 랜섬웨어는 PC의 안전 모드에서 실행되는 특징이 있으며 최종 페이로드인 "XMRig" 코인마이너를 이용해 사용자의 PC에서 불법적으로 모네로 암호화폐를 채굴한다. 또한, 드랍된 파일들을 이용하여 백신 프로그램을 삭제를 시도하거나 공격자의 C&C 서버에 연결을 시도한다. 1. 파일 드랍 게임 크랙 버전 설치 파일 "Crackonosh” 악성코드는 게임의 크랙 설치 파일로 유포되며 실행하면 서로 다른 동작을 수행하는 파일을 드랍한다. 2. 암호화폐 채굴 및 백신 프로그램 삭제 시도 Maintenance.vbs "Maintenance.vbs"는 커맨드를 통해 안전 모드에서 "serv.. 2021. 7. 21. Facebook 계정 정보를 노리는 안드로이드 악성 앱 최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다. 하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다. 위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다. Access Token을 통해 권한을 획득하였기에 .. 2021. 7. 20. PJobRAT 악성 앱 주의 최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원.. 2021. 7. 20. [주간 랜섬웨어 동향] – 7월 2주차 잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다. 2021년 7월 9일 Artis 랜섬웨어 파일명에 “.artis” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Artis” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. CovidLocker 랜섬웨어 파일명에 “.covid” 확장자를 추가하고 “How_To_Recover.mht”라는 랜섬노트를 생성하는 “CovidLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 7월 10일 InH.. 2021. 7. 16. 이전 1 ··· 30 31 32 33 34 35 36 ··· 146 다음
