악성코드359 Discord를 C&C 서버로 사용하는 ApolloRat 악성코드 최근, 미국의 보안 업체 Cyble에서 Discord를 C&C 서버로 사용하는 악성코드를 발견했다. 해당 악성코드는 "ApolloRAT"라고 불리며, 텔레그램을 통해 판매되고 있다. 이 악성코드가 실행될 경우 C&C Discord 서버와 통신하며, 공격자가 입력하는 명령어를 통해 피해자의 파일 다운로드와 브라우저 기록 수집 등의 악성 행위를 시도한다. 또한, Python으로 작성된 “ApolloRAT”는 Nuitka를 통해 C로 컴파일하는데, 이때 파일 크기가 급격히 증가하여 분석을 어렵게 한다고 알려졌다. 사진출처 : Cyble 출처 [1] Cyble (2022.07.14) – ApolloRat: Evasive Malware Compiled Using Nuitka https://blog.cyble.co.. 2022. 7. 20. 2022년 06월 악성코드 동향 보고서 1. 악성코드 통계 악성코드 Top10 2022년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Trojan 유형이며 총 354건이 탐지되었다. 악성코드 진단 수 전월 비교 6월에는 악성코드 유형별로 5월과 비교하였을 때 Virus의 진단 수가 증가하고, Trojan, Worm, Backdoor 및 Adware의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 5월에 비해 증가한 추이를 보이고 있다. 2. 악성코드 동향 2022년 6월(6월 1.. 2022. 7. 8. YouTube에서 유포되는 PennyWise 악성코드 최근 미국의 보안 업체 Cyble에서 "PennyWise"라는 새로운 악성코드를 발견하고 분석 보고서를 발표했다. 해당 악성코드는 비트코인 채굴 소프트웨어로 위장하고 있으며, 다운로드 링크가 포함된 YouTube 동영상 페이지를 통해 유포된다. 이 악성코드가 실행될 경우 피해자의 암호 화폐 지갑 정보와 브라우저 쿠키를 수집해 공격자 C&C 서버로 전송한다. Cyble은 암호를 주기적으로 업데이트하고 확인되지 않은 사이트에서 불법 복제 소프트웨어를 다운로드하지 않을 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2022.06.30) – PennyWise Stealer: An Evasive Infostealer Leveraging YouTube To Infect Users https://b.. 2022. 7. 8. BBVA 은행 계좌를 표적으로 하는 Revive 악성코드 최근 이탈리아의 사이버 보안 업체 Cleafy가 스페인의 BBVA 은행 계좌를 표적으로 하는 "Revive"악성코드 분석 보고서를 발표했다. 해당 악성코드는 BBVA 은행 계좌에 로그인하는 데 필요한 2FA(2단계 인증) 앱을 사칭해 다운로드를 유도한다. 피해자의 시스템에 "Revive"가 설치되면, 백그라운드에서 키로거로 작동해 장치에 입력하는 모든 것을 기록하고 주기적으로 C2에 전송한다. 또한, Cleafy는 "Revive"가 오픈 소스 스파이웨어 "Teardroid"와 API, 웹 프레임워크 및 기능에서 유사점을 보인다고 언급했다. 사진 출처 : Cleafy 출처 [1] Cleafy (2022.06.28) - Revive: from spyware to Android banking trojan ht.. 2022. 6. 28. 취약점을 이용하여 배포되는 AsyncRAT 악성코드 최근 “AsyncRAT” 악성코드가 트렌드에 맞춘 주제를 통해 활발히 배포되기 시작했다. “AsyncRAT” 악성코드는 콜롬비아 전역에 스팸 메일을 통해 퍼졌으며 코로나 이슈가 잠잠해지면서 여행 법률 완화로 인해 늘어난 여행객을 대상으로 여행 관련 정보 파일로 위장해 “AsyncRAT” 악성코드를 유포한 바 있다. 또한, 문서 파일을 이용해 원격 코드 실행이 가능한 “CVE-2022-30190” Follina 취약점을 이용해 해당 악성코드를 배포한 이력이 있다. 아래는 자사 블로그에 게시된 Follina 취약점에 관련된 글이다. 2022.06.03 - [취약점 정보] - 원격으로 코드 실행하는 Follina 취약점 주의 “AsyncRAT” 악성코드는 작업 스케줄러에 등록되거나 레지스트리 등록을 통해 지속.. 2022. 6. 23. PDF 파일을 통해 유포되는 Snake Keylogger 악성코드 최근, PDF 파일을 통해 유포되는 "Snake Keylogger"악성코드 캠페인이 발표됐다. HP사의 보안 연구원에 따르면 이 악성코드는 내부에 악성 docx 파일을 숨기고 있는 PDF 파일을 통해 유포된다고 알려졌다. 이 PDF 파일을 Adobe Reader로 실행할 경우 내부에 포함된 악성 docx 파일 실행을 요청하는 메시지 박스를 띄우는데, 해당 악성 파일의 이름에 "has been verified"라는 문장이 포함되어 있어 사용자들로 하여금 의심을 피하고 실행을 유도한다. 또한, docx 파일 안의 매크로는 CVE-2017-11882 취약점을 이용하는 악성 .rtf 파일을 다운로드해 "Snake Keylogger"를 설치하고 악성 동작을 수행한다. 사진출처 : HP Threat Research.. 2022. 6. 3. 이전 1 ··· 16 17 18 19 20 21 22 ··· 60 다음
