분석 정보877 Bifrost RAT 악성코드 변종 발견 최근 한 캠페인에서 "Bifrost" RAT 악성코드와 타이포스쿼팅 방식이 적용된 C&C 서버 도메인을 사용하는 정황이 공개됐다. 타이포스쿼팅은 특정 사이트의 도메인 이름을 모방해 철자를 다르게 등록하는 방식으로, 이번 캠페인에서는 VMware 사이트를 사칭한 download.vmfare.com을 공격자의 C&C 서버 도메인에 활용했다. 또한, 이 과정에서 배포된 "Bifrost"는 감염된 환경에서 호스트 이름, IP 주소 등의 정보를 수집해 공격자에게 보내고, 공격자의 C&C 서버에서 받은 명령을 수행할 수 있다. A. 타이포스쿼팅 이번 캠페인에서는 공격자의 C&C 서버의 도메인으로 VMware 사이트와 유사한 download.vmfare.com을 사용해 사용자의 유입을 유도했다. 또한, 대만 공용 D.. 2024. 4. 11. 가짜 구인 광고로 유포되는 Ov3r_Stealer 최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 “Ov3r_Stealer” 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격 증명과 암호 화폐 등의 민감한 정보를 탈취한다. “Ov3r_Stealer”는 [그림 1]과 같이 윈도우 에러 리포팅 서비스인 “WerFaultSecure.exe”를 실행하고, DLL 사이드 로딩 기법을 이용해 악성 DLL을 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다. 가짜 구인 광고에 포함된 링크에 접속하면 악성 CPL(제어판) 파일이 다운로드되며, 해당 파일은 PowerShel.. 2024. 2. 29. 메신저 앱에서 정보를 탈취하는 VajraSpy 최근, 메신저 앱으로 위장해 감염된 디바이스에서 정보를 수집하는 안드로이드 악성 앱 “VajraSpy”가 발견됐다. 해당 악성 앱은 구글 플레이 또는 악성 링크를 포함한 가짜 광고로 유포됐으며, 다양한 종류의 메신저로 위장하고 있다. 해당 앱을 실행하면 디바이스의 기본 메시지와 통화 앱 뿐만 아니라 WhatsApp과 Signal 등의 다른 메신저에서도 정보를 탈취한다. “VajraSpy”가 위장한 메신저 중 하나인 Wave Chat을 실행하면 전화번호로 사용자를 등록한 후, 메시지 서비스를 제공하는 정상적인 앱처럼 동작한다. 단, 앱이 실행되기 전 먼저 악성 동작에 필요한 접근성 서비스와 알림 서비스 접근 권한을 요청한다. 해당 권한을 획득하면 카메라, 파일 및 위치 등의 권한을 추가로 요청하는데, 이때.. 2024. 2. 16. Qilin 랜섬웨어 리눅스 버전 최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면.. 2024. 2. 8. 모듈형 인포스틸러 Rhadamanthys 최근 “Rhadamanthys” 스틸러 악성코드의 유포 정황이 잇따라 발견되고 있다. 해당 악성코드는 모듈식 구조로 필요한 기능을 추가하거나 최소한의 필요한 기능만 실행하는 등 공격자가 대상과 목적에 맞게 커스텀할 수 있다. 해당 악성코드가 실행되면 내장된 모듈이 차례대로 로드 및 실행되며, 최종적으로 스틸러 페이로드를 다운로드해 정보 탈취를 목적으로 한다. “Rhadamanthys” 스틸러는 [그림 1]과 같이 코드 인젝션, 분석 방지 및 C&C 서버 통신을 수행하는 각각의 모듈로 구성된다. 분석 방지 모듈의 조건을 통과하면, C&C 서버에서 추가 명령 및 페이로드를 수신한다. 악성코드를 실행하면, 먼저 내부 디코딩 루틴을 사용해 쉘 코드를 생성하고, 메모리에 공간에 로드 후 실행한다. 생성된 코드는 .. 2024. 1. 17. 대출 앱으로 위장한 정보탈취 앱, SpyLoan 최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다. “SpyLoan” 앱은 먼저 전화번호 인증을 이용해 사용자 등록 및 로그인을 요청하며, 미리 설정된 국가 번호는 대상 국가를 특정하고 있음을 알 수 있다. 로그인에 성공하면, 데이터를 수집하기 위해 과도한 권한을 요청한다. 이후, 대출에 필요한 과정인 것처럼 사용자를 속여 연락처, 신분증 및 은행 정보 등 민감한 정보를 입력하도록 유도한다. 사용자가 입력한 개인 .. 2024. 1. 3. 이전 1 ··· 4 5 6 7 8 9 10 ··· 147 다음
