악성코드 332

Go 언어로 작성된 Aurora 인포스틸러

최근 안티 바이러스 제품의 탐지를 회피할 목적으로 비주류 프로그램 언어로 작성된 악성 파일이 증가하는 추세이다. Aurora 로 알려진 인포스틸러도 이러한 부류 중 하나로, 다중 플랫폼 빌드를 지원하는 Go 언어로 작성되어 윈도우, Linux OS 를 대상으로 작성되어 퍼져나가고 있다. 윈도우 OS 를 대상으로 작성된 Aurora 가 실행되면 wmic 기능을 이용하여 시스템의 기본 정보를 수집하고, 현재 화면의 스크린샷을 찍어 저장한다. 또한 시스템을 탐색하며 브라우저, 가상화폐 지갑, 게임, 등과 관련된 애플리케이션의 설치 여부를 확인한 후, 각 애플리케이션 데이터에 저장된 개인 정보를 수집한다. 수집된 시스템 정보는 json 포맷으로 변환되어 공격자 서버로 전송된다. 정보 탈취 후에는 추가 악성 행위..

피싱 메일을 통해 유포되는 DarkCloud 악성코드

새로 등장한 “DarkCloud” 악성코드가 사이버 범죄 포럼에서 판매되는 정황이 포착됐다. 이 악성코드는 공격자가 주문 배송 내용으로 위장한 피싱 메일의 첨부 파일을 전송해 유포했다고 알려졌다. 첨부 파일에는 드롭퍼가 압축돼 있으며, 드롭퍼 내부에 포함된 “DarkCloud”의 소스코드를 로드하고 .NET Framework를 통해 컴파일한 뒤 실행한다. 이후, 웹 브라우저와 이메일 프로그램에서 피해자의 계정 정보를 수집하고 Chromium 기반 브라우저에서 사용자 계정 및 신용카드와 관련된 정보를 수집해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.20) - Decoding the Inner Workings of DarkCloud Stealer https://bl..

파일 변환 도구로 위장한 ImBetter Stealer 악성코드

최근, 파일 변환 도구로 위장한 "ImBetter Stealer" 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 온라인 파일 변환 사이트로 위장한 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드는 감염 시스템의 언어 코드 식별자(LCID)를 확인해 러시아어 사용자가 아닐 경우, 공격자의 C&C 서버와 연결을 시도한다. 이후, 피해자 PC의 스크린샷과 브라우저 로그인 데이터 및 암호화폐 지갑 정보 등의 데이터를 탈취한다. 사진출처 : Cyble

신용카드 정보를 탈취하는 R3NIN Sniffer 악성코드

최근, 신용카드 정보를 탈취하는 "R3NIN Sniffer" 악성코드가 발견됐다. 보안업체 Cyble에 따르면, 이 악성코드는 JavaScript로 작성됐으며, 러시아의 사이버 범죄 포럼에서 판매되고 있다고 알려졌다. 해당 악성코드에 감염된 웹 서버에서 결제를 진행할 경우, 결제 정보 입력을 요청하는 가짜 창을 띄워 사용자로부터 정보 입력을 유도한다. 이후, 피해자가 입력한 카드 번호와 핸드폰 번호 및 이메일 등의 테이터를 탈취한다고 밝혀졌다. 사진출처 : Cyble 출처 [1] Cyble (2023.02.28) - R3NIN Sniffer Toolkit – An Evolving Threat to E-commerce Consumers https://blog.cyble.com/2023/02/28/r3nin..

다크웹에서 판매되는 Stealc 인포스틸러

최근, 텔레그램과 사이버 범죄 포럼에서 “Stealc”라는 새로운 인포스틸러 악성코드가 판매되는 정황이 발견됐다. 공격자는 유튜브에 크랙 소프트웨어로 위장한 “Stealc” 악성코드의 설치 방법을 설명하는 영상과 다운로드 링크를 업로드해 설치를 유도한다고 알려졌다. 해당 악성코드는, sqlite3.dll 등의 정상 DLL 파일을 다운로드해 사용자 데이터를 수집하는 등의 악성 행위에 사용한다. 최종적으로, 텔레그램 등의 메신저와 웹 브라우저 및 암호화폐 지갑에서 사용자 데이터를 탈취한 뒤, 탐지를 피하기 위해 다운로드한 DLL 파일과 악성코드 원본을 자가 삭제한다. 출처 [1] Sekoia (2023.02.20) - Stealc: a copycat of Vidar and Raccoon infostealer..

암호화폐 채굴 프로그램으로 위장한 Creal 악성코드

최근, 암호화폐 채굴 프로그램으로 위장한 "Creal" 인포스틸러 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 Python으로 제작됐으며, 비트코인 채굴 암호화폐으로 위장해 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 피해자 시스템에 악성 행위를 위한 Python 모듈이 설치되어 있는지 확인하고 설치되지 않은 모듈을 설치한다. 이후, 시작 프로그램 경로에 자가 복제본을 생성하고 암호화폐 지갑과 웹 브라우저 등의 정보를 수집한 뒤 디스코드를 통해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.29) - Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites..

2023년 03월 악성코드 동향 보고서

1. 악성코드 통계 악성코드 Top10 2023년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 232건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Worm 및 Backdoor의 진단 수가 증가했고, Virus와 Suspicious의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 2월에 비해 진단 수가 증가했지만, 셋째 주에는 감소했..

ChatGPT 크롬 확장 프로그램으로 위장한 "FakeGPT" 악성코드

최근, ChatGPT 크롬 확장 프로그램으로 위장해 유포되는 "FakeGPT" 악성코드가 발견됐다. 보안 업체 Guardio에 따르면, 공격자가 공식 Chrome 스토어에 악성 프로그램을 배포한 뒤 Google 스폰서 검색 결과를 사용해 사용자의 설치를 유도한 것으로 알려졌다. 해당 악성코드는 오픈소스 프로젝트인 "ChatGPT for Google"이라는 정상 프로그램과 동일한 이름을 가지며, 이 프로젝트를 기반으로 악성코드를 제작했다. 이 악성코드는 설치 이후 사용자의 페이스북 세션 쿠키를 탈취하고 계정 탈취를 시도한다. 또한, 해당 악성 동작 외에는 정상 프로그램과 동일하게 동작해 사용자의 의심을 피한 것으로 밝혀졌다. 이 악성코드는 발견 당시 약 9천명 이상의 사용자가 설치한 상태였으며 현재는 Ch..

Python에서 유니코드를 사용해 난독화하는 onyxproxy 악성 패키지

최근, PyPI 저장소에서 Python의 유니코드 지원을 악용해 소스코드를 난독화하는 "onyxproxy" 악성 패키지가 발견됐다. Python에서는 'self'라는 일반 문자열과 유니코드를 사용해 작성된 'self'를 다른 문자열로 인식하며, 공격자는 이 점을 악용해 문자열 일치를 기반으로 하는 탐지를 회피하는 것으로 알려졌다. 보안 업체 phyum에 따르면, 공격자가 유니코드 문자와 일반 문자열을 혼합해 사용함으로써 사용자의 의심을 피하고, 이를 악용해 악의적인 코드를 실행하도록 설계했다. 이 악성코드는 실행 이후 사용자의 인증 토큰 및 개인 정보를 탈취한다. 사진출처 : Phylum 출처 [1] Phylum (2023.03.22) - Malicious Actors Use Unicode Support..

Tor 브라우저로 위장해 암호화폐 지갑을 노리는 클리퍼 악성코드

최근, Tor 브라우저로 위장해 암호화폐 지갑을 노리는 클리퍼 악성코드가 발견됐다. 보안 업체 Kaspersky에 따르면, 공격자가 Tor 브라우저의 설치 프로그램으로 위장한 악성 프로그램을 배포해 사용자의 설치를 유도한 것으로 알려졌다. 이 프로그램을 실행하면, 정상 Tor 프로그램을 다운로드 및 설치하고 악성코드가 포함된 RAR 파일을 압축 해제 후 실행한다. 해당 악성코드는 클리퍼로, 사용자의 클립보드 데이터에서 암호화폐 주소를 스캔하고 공격자가 선택한 임의의 주소로 클립보드 데이터를 교체한다. 사진출처 : Kaspersky 출처 [1] Kaspersky (2023.03.28) - Copy-paste heist or clipboard-injector attacks on cryptousers http..