분석 정보877 부분 암호화를 사용하는 Play 랜섬웨어 2022년 처음 등장한 Play 랜섬웨어가 최근까지도 꾸준히 유포되면서 관련 피해 사례가 발견되고 있다. 해당 랜섬웨어는 암호화 과정에서 파일 크기에 따른 부분 암호화를 이용해 처리 속도를 단축하고 보안 프로그램의 탐지를 방지한다. 또한, 암호화가 완료된 파일의 끝에 일정한 크기의 데이터 구조를 추가해 해당 파일의 암호화 유무를 확인하는 파일 마커와 암호화 관련 정보를 저장한다. 1. 암호화 결과Play 랜섬웨어는 이동식 드라이브와 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 파일을 암호화한다. 암호화된 파일은 파일명 뒤에 “.PLAY” 확장자를 추가하고 공격자의 이메일 주소가 포함된 내용과 함께 “ReadMe.txt”라는 이름의 랜섬노트를 생성한다. 단, 암호화 대상에서 Windows 폴더,.. 2025. 2. 18. NodeStealer, 페이스북 광고 관리자 계정 정보 탈취 최근 페이스북의 광고 관리자의 계정 정보를 탈취하는 “NodeStealer”가 발견됐다. 페이스북 광고 관리자는 페이스북과 인스타그램에 게시할 광고 생성과 관리 및 추적 등의 기능을 지원하는 서비스로 광고 예산 지출 금액과 한도 금액 및 광고 노출 대상 등 각 광고 목적에 맞는 세부적인 설정이 가능하다. “NodeStealer”는 페이스북 광고 관리자의 계정 정보와 웹 브라우저에 저장된 비밀번호 및 결제 카드 정보 등의 데이터를 수집해 지정된 경로에 저장한다. 수집 이후에는 일정한 형식의 파일명으로 압축한 뒤 공격자의 텔레그램 주소로 전송한다. 이 악성코드는 페이스북 광고 관리자 페이지 주소로 GET 요청을 보내 광고 관리자 계정의 API 토큰값을 수집한다. 이후 페이스북에서 데이터를 가져오거나 내보낼.. 2024. 12. 31. Dynamic Dex Loading을 이용하는 TrickMo 최근 구글 크롬 앱으로 위장해 유포되는 악성 안드로이드 앱 “TrickMo”가 발견됐다. 해당 악성 앱은 잘못 구성된APK 파일, Dynamic Dex Loading 및 APK 드롭 등을 이용해 분석을 방해하고 탐지를 회피할 수 있도록 설계됐다. 특히, Dynamic Dex Loading은 Dex 파일을 동적으로 로딩하는 기법으로 디컴파일 도구에서 원본 데이터에 접근할 수 없도록 한다. 또한, 앱의 리소스에서 실질적인 악성 동작을 수행할 “TrickMo”의 APK 데이터를 읽어와 설치하는 방식을 사용하며 최종 설치된 “TrickMo”는 공격자가 운영하는 C&C 서버에서 명령어를 수신 및 실행해 데이터 수집과 원격 제어 등의 동작을 수행한다. 1. 분석 방지 및 탐지 회피1.1. 잘못 구성된 APK 파일“.. 2024. 12. 30. HORUS Protector를 이용해 유포되는 Snake Keylogger 악성코드 인코딩 및 배포 도구인 “HORUS Protector”를 이용해 유포되는 “Snake Keylogger”가 발견됐다. “HORUS Protector”는 백신 프로그램을 우회할 수 있는 FUD(Fully Undetectable) 크립터로 텔레그램에서 판매되고 있다. 최근 발견된 “Snake Keylogger”는 해당 프로텍터가 적용됐으며, 인코딩된 VBS 스크립트인 VBE 파일과 레지스트리로 악성코드를 난독화하고 프로세스 할로잉을 이용해 실행된다. 1. 동작 흐름도“Snake Keylogger”는 VBE 스크립트가 포함된 ZIP 아카이브 파일로 유포되며 VBE를 실행하면 공격자가 운영하는 C&C 서버에서 인코딩된 추가 데이터를 다운로드해 레지스트리에 저장한다. 이후 VBE는 레지스트리에 저장된 1.. 2024. 12. 9. UnderGround 랜섬웨어, 텔레그램에 탈취 정보 공개 최근 전 세계의 제조, 의료 및 금융 서비스 등 다양한 분야를 대상으로 한 공격에 사용된 “UnderGround” 랜섬웨어가 발견됐다. “UnderGround” 랜섬웨어에 감염된 파일은 확장자가 변경되지 않아 육안으로 감염 여부를 확인하기 어렵고 암호화할 파일을 다른 프로세스가 사용 중이면 윈도우 리스타트 매니저로 프로세스를 종료한 뒤 암호화한다. 이후, 암호화한 경로마다 랜섬노트를 생성해 사용자에게 랜섬머니를 요구하고 랜섬웨어 실행 경로에 생성한 배치 스크립트를 실행해 자기 자신과 이벤트 로그를 삭제한다. “UnderGround” 측은 아래 [그림 1]과 같이 자신들이 운영하는 정보 유출 사이트에 탈취한 데이터를 공개하고 그중 일부를 “UnderGround Team”이라는 텔레그램 채널에 게시한다. 정.. 2024. 10. 30. 텔레그램에서 판매 중인 Angry Stealer 악성코드 최근 텔레그램에서 판매 중인 정보 탈취 악성코드 "Angry Stealer"가 발견됐다. 이 악성코드는 텔레그램 채널 "ANGRY STEALER"에서 150달러에 판매되고 있으며, 해당 채널에는 수집 가능한 항목과 탈취한 결과물 그리고 제작자의 프로필 정보가 게시됐다. "Angry Stealer"를 실행하면 웹 브라우저와 암호화폐 지갑 등의 데이터를 수집하고 스크린샷을 찍어 지정한 경로에 폴더를 생성한 뒤 수집한 데이터를 저장한다. 그리고 국가 코드와 IP 주소를 비롯해 일정한 형식의 파일 이름으로 압축 파일을 만들어 공격자의 텔레그램으로 전송한다. 분석파일 드롭 및 실행"Angry Stealer"를 실행하면 '%temp%' 경로에 2개의 파일을 드롭한다. 이 중 "Stepasha.exe"가 정보 탈.. 2024. 9. 30. 이전 1 2 3 4 5 6 7 8 ··· 147 다음
