분석 정보884 Powershell을 통해 실행되는 DoubleBack 악성코드 미국의 전자 제품 회사의 임원으로 위장한 피싱 메일이 발견되었다. 공격자는 피싱 메일에 악성 파일을 다운로드 할 수 있는 링크를 포함하여 사용자로 하여금 악성 파일을 다운로드 하도록 유도하였다. 다운로드 한 Zip 파일은 가짜 PDF 파일과 다운로더 악성코드로 구성되었는데, 피싱 메일이 유포된 시기에 따라 다운로더 악성코드 파일이 변경되었다. 공격 초기에는 JavaScript 로 작성된 다운로더 악성코드가 유포되었지만, 이후 발견된 사례에서는 악성 Excel 파일이 유포된 것으로 알려졌다. 만약 사용자가 악성 JavaScript 혹은 Excel 파일을 실행하면 추가 파일을 다운로드하여 악성 행위를 수행한다. 악성 동작 사용자가 악성 Excel 파일 실행 시, Excel 파일 내부의 매크로를 통해 공격자의.. 2021. 6. 10. 국내 안드로이드 사용자 노린 MoqHao 피싱 최근 국내 안드로이드 단말기 사용자를 노린 피싱 메시지가 발견되었다. 피싱 메시지는 우체국, 택배와 관련된 문자 메시지로 위장하여 사용자가 링크를 클릭하도록 유도한다. 링크와 연결된 사이트는 Chrome 브라우저를 최신으로 업데이트할 것을 요구하며 정보 탈취 기능을 보유한 MoqHao 악성 앱을 다운로드하도록 유도한다. 다운로드된 악성 앱은 Chrome 브라우저로 위장한다. 앱을 실행하면 통화 내역, SMS 문자, 연락처, 등 민감한 정보에 접근할 수 있도록 권한을 요구하며, 자신을 기본 SMS 앱으로 설정하도록 유도한다. 권한을 받은 악성 앱은 단말기 정보를 수집하고 C&C 서버로 송신한다. MoqHao 는 과거에도 개인 정보 유출, 택배 반송과 같이 사용자의 주의를 끄는 내용의 피싱 메시지를 통해 유.. 2021. 6. 10. 중국 해커 SharpPanda의 RoyalRoad를 사용한 APT 공격 최근 동남아시아의 정부 기관을 타겟으로 하는 APT 공격이 발생하였다. 관련 내용은 자사 블로그 '최신 보안 동향'에서 확인이 가능하다. 2021.06.07 - [최신 보안 동향] - SharpPanda의 동남아시아 외무부 공격 해당 공격은 중국 해커 그룹인 SharpPanda에 의해 발생하였으며, 피싱 메일을 통해 시작되었다. 피싱 메일은 RoyalRoad 악성코드를 다운로드하고 이 후, 사용자 정보를 탈취하고 파일을 다운로드 하는 등의 악성 동작을 수행한다. 이번 APT 공격은 다음의 흐름도와 같이 진행되며, 위의 RoyalRoad의 변종으로 기존의 동작과 다른 점을 확인할 수 있다. 아래의 그림과 같이, 피싱 메일은 다른 정부기관을 사칭하였으며, 해당 메일의 첨부 파일은 정식 문서를 가장한 악성 문.. 2021. 6. 9. 운송 회사 앱으로 위장한 FluBot 악성 앱 최근 DHL, FedEx 와 같은 유명 운송 회사의 앱으로 위장한 안드로이드 악성 앱 FluBot 이 기승을 부리고 있다. 유럽 국가를 중심으로 퍼져가는 이 정보 탈취형 악성 앱은 잠잠해지기는커녕, 지속적으로 버전 업하며 지원하는 언어를 추가하고 공격 대상 국가를 늘리고 있다. FluBot 을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, FluBot 은 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 행위에 사용할 수 있다. 이후 접근성 서비스 권한을 악용하여 기본 SMS 앱 설정 화면을 출력하고, 사용자 동의 없이 FluBot 을 기본 SMS 앱으로 설정한다. 이외에도 사용자가 접근성 서비스.. 2021. 6. 8. [주간 랜섬웨어 동향] – 6월 1주차 잉카인터넷 대응팀은 2021년 5월 28일부터 2021년 6월 3일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “TeslaRVNG2” 외 3건, 변종 랜섬웨어는 “Matrix” 외 1건이 발견됐다. 이 중, Microsoft Exchange 서버의 취약점을 악용하고 다수의 파워셸 스크립트를 활용하는 “Epsilon Red” 랜섬웨어가 발견됐다. 2021년 5월 28일 TeslaRVNG2 랜섬웨어 파일명에 “.id[사용자 ID].[공격자 메일].[파일명].tesla” 확장자를 추가하고 “TeslaRVNG2.hta”라는 랜섬노트를 생성하는 “TeslaRVNG2” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 5월 29일 Matrix 랜섬웨어 파.. 2021. 6. 3. 이슬람 코인 거래소 사칭 앱 지난 3월 이슬람 금융법을 준수하는 공식 이슬람 블록 체인 거래소 Caizcoin이 출시되었다. 그리고 두 달 만에 Caizcoin 코인 거래소를 사칭한 앱이 유포되어 주의가 필요하다. 해당 악성 앱은 Caizcoin 사칭 사이트에서 유포되었으며, 사용자 정보를 탈취하고 다운로더의 기능을 한다. 하단의 이미지와 같이 정상 Caizcoin 사이트와 유사한 모습으로 가짜 사이트에서 악성 앱을 다운로드할 수 있다. Caizcoin의 정상 사이트에서는 구글 플레이에서 다운로드를 하도록 권장하며, 아래와 같이 구글 플레이에서 판매 중에 있다. 아래의 난독화 해제된 스크립트로 html 파일를 생성하고, 생성된 코드로 Webview를 생성하여 필요한 권한을 가진다. 생성된 Webview는 다음과 같이 사용자 단말기에.. 2021. 6. 3. 이전 1 ··· 36 37 38 39 40 41 42 ··· 148 다음
