최신 보안 동향 421

텔레그램 보안 업데이트로 위장한 피싱 사이트

한국인터넷진흥원과 과학기술정보통신부(과기정통부)는 텔레그램 메신저에서 보안 업데이트 안내로 위장한 메시지에 피싱 사이트 링크가 포함된 정황에 대해 공지했다. 한국인터넷진흥원은 공격자가 보안 업데이트 안내 메시지를 사용자에게 전달해 피싱 사이트 접속을 유도한다고 전했다. 현재, 해당 사이트는 사용자가 개인정보를 입력하도록 하는 것이 확인돼 긴급 차단됐다. 또한, 접속에 사용한 PC 및 휴대폰이 악성 앱에 감염되는 등의 2차 피해가 발생할 우려가 있어 주의가 필요하다고 덧붙였다. 이에 대해 한국인터넷진흥원과 과기정통부는 2차 인증을 설정해 개인 보안을 강화하고 출처가 불분명한 사이트 접속을 자제할 것을 권고했다. 사진 출처 : 한국인터넷진흥원 출처 [1] 한국인터넷진흥원 (2023.07.20) – KISA-..

정보를 탈취하는 Meduza 스틸러 발견

보안 업체 Uptycs는 텔레그램과 다크웹 포럼에서 판매 중인 정보 탈취 악성코드 "Meduza"를 발견했다. “Meduza”는 사용자 PC에서 시스템, 브라우저 및 암호화폐 지갑 등의 정보를 수집해 공격자의 서버로 전송한다. 해당 악성코드는 사전에 러시아를 포함한 10개의 국가를 공격 대상 제외 목록으로 만들어 실행을 제한한다. 또한, 공격 과정에서 공격자의 서버와 통신이 안되면 즉시 실행을 종료해 행위 추적이 어렵게 만든다. Uptycs 측은 기능이 계속 추가되는 구독형 서비스임을 강조하며, 운영체제 및 브라우저 등을 정기적으로 보안 업데이트할 것을 권고했다. 사진 출처 : Uptycs 출처 [1] Uptycs (2023.06.30) – Meduza Stealer: What Is It & How Do..

파일 관리 앱으로 위장한 스파이웨어

구글 플레이 스토어에서 파일 관리 앱으로 위장해 사용자의 정보를 탈취하는 앱이 발견됐다. 보안 업체 Pradeo는 “File Recovery & Data Recovery”와 “File Manager”로 등록된 2종의 스파이웨어 앱을 총합 150만 명 이상이 사용했다고 전했다. 또한, 해당 앱을 설치하면 사용자가 앱을 삭제하지 못하도록 아이콘을 숨기고, 연락처 목록과 위치 등의 개인정보를 수집해 공격자의 C&C 서버로 전송한다고 덧붙였다. Pradeo 측은 수집한 데이터가 주로 중국으로 유출된다고 언급하며 앱 사용에 필요한 권한은 주의 깊게 읽은 후 수락할 것을 권고했다. 직접 확인해 본 결과 해당 앱 2종은 구글 플레이 스토어에서 삭제돼 검색되지 않았다. 사진 출처 : Pradeo 출처 [1] Prede..

새로운 ZIP 도메인 출시와 보안 위협에 대한 논의

최근, Google Registry에서 웹사이트 또는 이메일 주소 호스팅에 사용할 수 있는 8개의 최상위 도메인을 도입했다. 추가된 도메인에는 .dad, .phd, .prof, .esq, .foo, .zip, .mov 및 .nexus 등이 있고 현재 모두 사용할 수 있다. 이 중 .zip, .mov 등의 도메인은 파일의 확장자로도 사용되므로 파일명과 URL이 혼재되어 발생할 위험에 대한 우려가 제기되고 있다. 보안 업체 Silent Push Labs는 microsoft-office[.]zip과 같이 Microsoft로 위장한 피싱 사이트 제작에 .zip 도메인이 악용되는 사례를 발견했으며, 보안 연구원 Rauch는 Github에서 파일 다운로드 링크로 위장해 .zip 도메인을 갖는 피싱 사이트로 접속을 ..

Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 Greatness

최근, Microsoft 365 플랫폼을 표적으로 하는 서비스형 피싱 도구 "Greatness"를 사용한 공격이 급증하고 있다. Cisco Talos의 조사에 따르면, 해당 도구를 사용하는 공격자는 HTML 파일을 첨부한 피싱 메일을 발송해 공격을 시도한다. 사용자가 첨부 파일을 실행하면 Microsoft 365 로그인 페이지로 위장한 피싱 사이트로 리디렉션하고 사용자의 로그인 입력을 유도한다. 또한, 로그인 과정에서 MFA 인증이 사용될 경우, 음성 통화 또는 SMS 코드 등 실제 Microsoft 365 페이지에서 요청한 MFA 방법을 사용해 사용자에게 인증을 요구한다. 해당 페이지를 통해 사용자가 로그인을 시도하면, 입력한 계정 정보를 탈취해 텔레그램 봇을 통해 공격자에게 전송한다. 사진출처 : C..

Google Ads를 통해 유포되는 LobShot 악성코드

최근, Google Ads를 통해 유포되는 "LobShot" 악성코드가 발견됐다. Elastic Security Labs에 따르면, 공격자가 원격 데스크톱 프로그램인 AnyDesk로 위장한 가짜 사이트를 제작하고 Google Ads를 통해 사용자의 접속을 유도한 것으로 알려졌다. 해당 악성코드를 다운로드 후 실행하면, 'C:\ProgramData' 경로에 자가 복제본을 생성해 새로운 프로세스를 통해 실행되고 지속성을 위한 레지스트리 키를 생성한다. 이후, Microsoft Defender의 실행 여부를 확인한 뒤 피해자 PC에서 호스트 정보와 암호화폐 확장 프로그램 등의 정보를 탈취한다. 또한, "LobShot" 악성코드는 hVNC 모듈이 포함돼 있어 사용자 몰래 원격으로 PC를 제어할 수 있는 것으로 ..

피싱 메일을 통해 유포되는 DarkCloud 악성코드

새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다. 이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다. 이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer https://bl..

파일 변환 도구로 위장한 ImBetter Stealer 악성코드

최근, 파일 변환 도구로 위장한 "ImBetter Stealer" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 온라인 파일 변환 사이트로 위장한 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드는 감염 시스템의 언어 코드 식별자(LCID)를 확인해 러시아어 사용자가 아닐 경우, 공격자의 C&C 서버와 연결을 시도한다. 이후, 피해자 PC의 스크린샷과 브라우저 로그인 데이터 및 암호화폐 지갑 정보 등의 데이터를 탈취한다. 사진출처 : Cyble

신용카드 정보를 탈취하는 R3NIN Sniffer 악성코드

최근, 신용카드 정보를 탈취하는 "R3NIN Sniffer" 악성코드가 발견됐다. 보안업체 Cyble에 따르면, 이 악성코드는 JavaScript로 작성됐으며, 러시아의 사이버 범죄 포럼에서 판매되고 있다고 알려졌다. 해당 악성코드에 감염된 웹 서버에서 결제를 진행할 경우, 결제 정보 입력을 요청하는 가짜 창을 띄워 사용자로부터 정보 입력을 유도한다. 이후, 피해자가 입력한 카드 번호와 핸드폰 번호 및 이메일 등의 테이터를 탈취한다고 밝혀졌다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.28) - R3NIN Sniffer Toolkit – An Evolving Threat to E-commerce Consumers https://blog.cyble.com/2023/02/28/r3nin..

다크웹에서 판매되는 Stealc 인포스틸러

최근, 텔레그램과 사이버 범죄 포럼에서 “Stealc”라는 새로운 인포스틸러 악성코드가 판매되는 정황이 발견됐다. 공격자는 유튜브에 크랙 소프트웨어로 위장한 “Stealc” 악성코드의 설치 방법을 설명하는 영상과 다운로드 링크를 업로드해 설치를 유도한다고 알려졌다. 해당 악성코드는, sqlite3.dll 등의 정상 DLL 파일을 다운로드해 사용자 데이터를 수집하는 등의 악성 행위에 사용한다. 최종적으로, 텔레그램 등의 메신저와 웹 브라우저 및 암호화폐 지갑에서 사용자 데이터를 탈취한 뒤, 탐지를 피하기 위해 다운로드한 DLL 파일과 악성코드 원본을 자가 삭제한다. 출처 [1] Sekoia (2023.02.20) - Stealc: a copycat of Vidar and Raccoon infostealer..