최신 보안 동향455 Clop 랜섬웨어를 유포하는 TrueBot 악성코드 최근, "TrueBot" 악성코드를 활용한 공격이 급증하고 있다. 보안 업체 Cisco Talos에 따르면, 이 악성코드는 다운로더 역할을 하며 최근 "Clop" 랜섬웨어를 유포하는 데 사용된 것으로 알려졌다. 해당 악성코드에 감염될 경우, 피해자 PC에서 시스템 정보와 스크린샷 등의 정보를 탈취하고, "Teleport" 및 "Clop"과 같은 추가 악성코드를 다운로드해 정보 탈취, 파일 암호화 등의 악성 행위를 수행한다. 또한, 새로운 버전의 "Truebot"에는 다운로드 기능 외에도 메모리에 셸 코드를 주입해 실행하는 등 탐지 회피를 위한 기능이 추가된 것으로 밝혀졌다. 사진출처 : Cisco Talos 출처 [1] Cisco Talos (2022.12.08) - Breaking the silence.. 2022. 12. 30. 분석 방해 기술이 추가된 GuLoader 악성코드 변종 최근, 분석 방해 기술이 추가된 "GuLoader" 악성코드의 변종이 발견됐다. 보안 업체 Crowdstrike에 따르면, 해당 악성코드는 쉘코드 형태의 다운로더로 최신 버전에서는 VBS 파일 실행을 통해 유포되는 것으로 알려졌다. 이 파일을 실행하면 악성 쉘코드를 드롭한 뒤 정상 프로세스에 주입해 실행하고 "Remcos" 악성코드를 다운로드한다. 발견된 변종은 프로세스 메모리 전체에서 가상머신 관련 문자열 검사를 수행하며, 가상 환경이 탐지될 경우 쉘코드 실행을 중단하는 것으로 밝혀졌다. 사진출처 : Crowdstrike 출처 [1] Crowdstrike (2022.12.19) - Malware Analysis: GuLoader Dissection Reveals New Anti-Analysis Tech.. 2022. 12. 30. Windows 10 설치 프로그램으로 위장해 유포되는 악성코드 최근, Windows 10 운영체제 설치 프로그램으로 위장한 트로이 목마 악성코드가 발견됐다. 보안 업체 Mandiant에 따르면, 이 악성코드는 우크라이나 사용자를 대상으로 하며 토렌트 파일 공유 사이트에서 유포되는 것으로 알려졌다. 해당 악성코드는 Windows 10 설치 프로그램으로 위장한 악성 ISO 파일로, 자동 업데이트 및 라이센스 확인 등을 차단하도록 설계됐다. 설치 이후, 사용자 PC에서 시스템 파일 등을 탈취해 공격자의 C&C 서버로 전송한다. 또한, 지속성을 위한 여분의 백도어 "Sparepart"와 정보 탈취를 위한 백도어 "Stowaway" 등의 추가 악성코드를 설치하는 것으로 알려졌다. 사진출처 : Mandiant 출처 [1] Mandiant (2022.12.15) - Trojan.. 2022. 12. 30. 인도 철도 공사 IRCTC를 사칭한 피싱 공격 최근, 인도 철도 공사 IRCTC를 사칭해 피해자의 금융 정보를 탈취하는 피싱 캠페인이 발견됐다. 보안 업체 Cyble에 따르면, 공격자가 트위터 사용자를 대상으로 IRCTC 고객 지원 담당자로 가장해 접근하는 것으로 알려졌다. 공격자는 트위터에서 인도 철도에 대한 불만 사항을 게시한 사용자에게 연락해 보상을 빌미로 열차 예약 번호, 환불 금액 및 결제 수단 등의 정보를 요구한다. 또한, SMS 및 금융 정보를 탈취하기 위해 추가적인 피싱 사이트와 악성 Android 앱을 사용한 것으로 밝혀졌다. Cyble은 사용자에게 이러한 사기 수법을 인지하고, 타인에게 개인 정보를 제공하거나 앱을 설치할 경우 주의할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.27) - New W.. 2022. 12. 29. 음악 다운로드 앱으로 위장한 GodFather 안드로이드 악성코드 최근, 음악 다운로드 앱으로 위장해 터키 사용자들을 노리는 "GodFather" 안드로이드 악성코드가 발견됐다. 보안 업체 Cyble은 해당 악성코드가 터키어로 작성됐으며, 음악 다운로드 앱인 MYT Music으로 위장해 유포된다고 알렸다. 이 악성코드는 사용자 기기에서 SMS 메시지, 설치된 앱 데이터 및 전화번호 등의 정보를 탈취하고, VNC를 사용해 원격으로 화면을 제어하는 등의 악성 행위를 수행한다. 이후, 텔레그램 채널에서 공격자의 C&C 서버 주소를 가져와 해당 주소로 탈취한 데이터를 전송하고 "killbot" 명령을 통해 스스로 종료된다. 사진출처 : Cyble 출처 [1] Cyble (2022.12.20) - GodFather Malware Returns Targeting Banking U.. 2022. 12. 29. 새로운 YouTube 봇 악성코드 발견 최근, 보안 업체 Cyble이 새로운 YouTube 봇 악성코드를 발견했다. 해당 업체에 따르면, 이 악성코드는 특정 채널의 조회수와 좋아요 수를 늘리고 댓글을 작성해 채널 순위를 높일 수 있다고 알려졌다. 해당 악성코드가 실행될 경우, 피해자 PC에 설치된 브라우저의 쿠키와 자동 완성 및 로그인 데이터 등의 정보를 수집해 공격자의 C&C서버에 전송한다고 밝혀졌다. 또한, 공격자가 운영하는 C&C 서버로부터 명령을 받아 피해자의 컴퓨터에 추가 악성코드를 다운로드하고 실행할 수 있다. 출처 [1] Cyble (2022.12.23) - New YouTube Bot Malware Spotted Stealing User’s Sensitive Information https://blog.cyble.com/2022.. 2022. 12. 28. 이전 1 ··· 11 12 13 14 15 16 17 ··· 76 다음
