최신 보안 동향 452

다크웹에서 판매되는 Stealc 인포스틸러

최근, 텔레그램과 사이버 범죄 포럼에서 “Stealc”라는 새로운 인포스틸러 악성코드가 판매되는 정황이 발견됐다. 공격자는 유튜브에 크랙 소프트웨어로 위장한 “Stealc” 악성코드의 설치 방법을 설명하는 영상과 다운로드 링크를 업로드해 설치를 유도한다고 알려졌다. 해당 악성코드는, sqlite3.dll 등의 정상 DLL 파일을 다운로드해 사용자 데이터를 수집하는 등의 악성 행위에 사용한다. 최종적으로, 텔레그램 등의 메신저와 웹 브라우저 및 암호화폐 지갑에서 사용자 데이터를 탈취한 뒤, 탐지를 피하기 위해 다운로드한 DLL 파일과 악성코드 원본을 자가 삭제한다. 출처 [1] Sekoia (2023.02.20) - Stealc: a copycat of Vidar and Raccoon infostealer..

가짜 블루 스크린 창을 띄우는 악성코드

최근, 가짜 블루 스크린 창을 띄워 사용자를 속이는 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 비디오 플레이어 아이콘으로 위장하고 있으며, 성인 사이트로 위장한 악성 페이지에서 유포된다고 알렸다. 해당 악성코드를 실행할 경우, 가짜 블루 스크린 창과 기술 지원 센터로 위장한 전화번호를 띄워 사용자로부터 공격자에게 연락하도록 유도한다고 알려졌다. Cyble은 의심스러운 사이트 접속을 피하고 알 수 없는 사이트에서 파일을 다운로드하지 않을 것을 권고했다. 사진출처 : cyble 출처 [1] Cyble (2023.02.28) - Blue Screen of Death Scams Target Users Visiting Fake Adult Sites https://blog.cyble.com/2023..

유튜브 광고 차단 앱으로 위장한 Nexus 악성 앱

최근, 사이버 범죄 포럼에서 판매되고 있는 "Nexus" 악성 앱이 발견됐다. 보안 업체 Cyble은 이 악성 앱이 유튜브 광고 차단 앱인 YouTube Vanced로 위장해 피싱 사이트에서 유포된다고 알렸다. 설치된 "Nexus" 악성 앱은 피해자의 시스템에 설치된 뱅킹 앱을 확인하고 해당 뱅킹 앱의 피싱 페이지를 WebView로 띄워 공격자가 입력한 계정 정보를 탈취한다. Cyble은 구글 Play Store 또는 iOS App Store와 같은 공식 앱 스토어에서만 앱을 다운로드할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.09) - Nexus: The Latest Android Banking Trojan with SOVA Connections https://bl..

암호화폐 채굴 프로그램으로 위장한 Creal 악성코드

최근, 암호화폐 채굴 프로그램으로 위장한 "Creal" 인포스틸러 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 Python으로 제작됐으며, 비트코인 채굴 암호화폐으로 위장해 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 피해자 시스템에 악성 행위를 위한 Python 모듈이 설치되어 있는지 확인하고 설치되지 않은 모듈을 설치한다. 이후, 시작 프로그램 경로에 자가 복제본을 생성하고 암호화폐 지갑과 웹 브라우저 등의 정보를 수집한 뒤 디스코드를 통해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.29) - Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites..

브라질 모바일 뱅킹 사용자들을 노리는 GoatRAT 악성 앱

최근, 브라질의 모바일 뱅킹 사용자들을 노리는 "GoatRAT" 안드로이드 악성 앱이 발견됐다. 보안 업체 Cyble은 이 악성 앱이 브라질 중앙 은행에서 개발한 결제 플랫폼인 PIX를 사용하는 안드로이드 앱을 표적으로 한다고 알렸다. 해당 악성 앱은 PIX를 사용하는 뱅킹 앱의 실행을 탐지한 뒤, 가짜 오버레이 창을 띄워 피해자를 속이고 PIX 키 입력을 유도한다. 이후, 공격자는 입력받은 PIX 키를 사용해 피해자의 계좌에서 원하는 금액을 이체한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.14) - GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks https://blog.cyble.com/2023/03/14/g..

ChatGPT 크롬 확장 프로그램으로 위장한 "FakeGPT" 악성코드

최근, ChatGPT 크롬 확장 프로그램으로 위장해 유포되는 "FakeGPT" 악성코드가 발견됐다. 보안 업체 Guardio에 따르면, 공격자가 공식 Chrome 스토어에 악성 프로그램을 배포한 뒤 Google 스폰서 검색 결과를 사용해 사용자의 설치를 유도한 것으로 알려졌다. 해당 악성코드는 오픈소스 프로젝트인 "ChatGPT for Google"이라는 정상 프로그램과 동일한 이름을 가지며, 이 프로젝트를 기반으로 악성코드를 제작했다. 이 악성코드는 설치 이후 사용자의 페이스북 세션 쿠키를 탈취하고 계정 탈취를 시도한다. 또한, 해당 악성 동작 외에는 정상 프로그램과 동일하게 동작해 사용자의 의심을 피한 것으로 밝혀졌다. 이 악성코드는 발견 당시 약 9천명 이상의 사용자가 설치한 상태였으며 현재는 Ch..

Python에서 유니코드를 사용해 난독화하는 onyxproxy 악성 패키지

최근, PyPI 저장소에서 Python의 유니코드 지원을 악용해 소스코드를 난독화하는 "onyxproxy" 악성 패키지가 발견됐다. Python에서는 'self'라는 일반 문자열과 유니코드를 사용해 작성된 'self'를 다른 문자열로 인식하며, 공격자는 이 점을 악용해 문자열 일치를 기반으로 하는 탐지를 회피하는 것으로 알려졌다. 보안 업체 phyum에 따르면, 공격자가 유니코드 문자와 일반 문자열을 혼합해 사용함으로써 사용자의 의심을 피하고, 이를 악용해 악의적인 코드를 실행하도록 설계했다. 이 악성코드는 실행 이후 사용자의 인증 토큰 및 개인 정보를 탈취한다. 사진출처 : Phylum 출처 [1] Phylum (2023.03.22) - Malicious Actors Use Unicode Support..

Tor 브라우저로 위장해 암호화폐 지갑을 노리는 클리퍼 악성코드

최근, Tor 브라우저로 위장해 암호화폐 지갑을 노리는 클리퍼 악성코드가 발견됐다. 보안 업체 Kaspersky에 따르면, 공격자가 Tor 브라우저의 설치 프로그램으로 위장한 악성 프로그램을 배포해 사용자의 설치를 유도한 것으로 알려졌다. 이 프로그램을 실행하면, 정상 Tor 프로그램을 다운로드 및 설치하고 악성코드가 포함된 RAR 파일을 압축 해제 후 실행한다. 해당 악성코드는 클리퍼로, 사용자의 클립보드 데이터에서 암호화폐 주소를 스캔하고 공격자가 선택한 임의의 주소로 클립보드 데이터를 교체한다. 사진출처 : Kaspersky 출처 [1] Kaspersky (2023.03.28) - Copy-paste heist or clipboard-injector attacks on cryptousers http..

Google Ads를 악용해 AWS 계정을 노리는 멀버타이징 캠페인

최근, Google Ads를 악용해 사용자 계정을 노리는 멀버타이징 캠페인이 발견됐다. 보안 업체 SentinelOne에 따르면, 공격자가 아마존 웹 서비스(AWS)를 사칭한 피싱 사이트를 제작하고 Google Ads를 악용해 사용자들의 접속을 유도한 것으로 알려졌다. 사용자가 구글 검색창에 "AWS"를 검색하면 검색 결과에 공격자가 제작한 악성 웹 사이트가 노출된다. 해당 사이트에 접속할 경우, AWS 로그인을 가장한 피싱 사이트로 연결돼 사용자의 계정 정보 입력을 유도한다. 이후, 사용자가 로그인을 시도하면 입력한 계정 정보를 공격자에게 전송하고, 사용자를 실제 AWS 사이트로 리디렉션한다. 사진출처 : SentinelOne 출처 [1] SentinelOne (2023.02.09) - Cloud Cr..

공백의 이미지 파일을 통해 악성 URL을 유포하는 피싱 공격

최근, 공백의 이미지 파일 속에 악성 URL을 숨겨 유포하는 피싱 공격이 발견됐다. 보안 업체 Avanan에 따르면, 공격자가 전자 서명 서비스 DocuSign을 사칭해 정상 사이트 링크와 함께 악성 링크를 포함하는 HTML 파일이 첨부된 메일을 발송한 것으로 알려졌다. HTML에는 빈 SVG 파일이 포함돼 있고, 첨부 파일 실행 시 이미지 파일 내부에 숨겨진 악성 URL 링크로 사용자를 리다이렉트한다. Avanan의 연구원은 해당 공격 기법은 대부분의 보안 서비스를 우회할 수 있다고 언급하며, 메일에 첨부된 HTML 파일 실행에 유의할 것을 권고했다. 사진출처 : Avanan 출처 [1] Avanan (2023.01.19) - The Blank Image Attack https://www.avanan...