정보 탈취24 멕시코 금융 기관 사용자를 대상으로 한 공격에 사용된 Neurevt 악성코드 지난 6월경, 멕시코 금융 기관 사용자를 대상으로 정보를 탈취하는 캠페인이 발견됐다. 해당 캠페인에서 사용한 악성코드는 "Neurevt"로 다크웹 포럼에서 평균 $300에 판매되는 것으로 알려졌으며, 감염된 PC의 사용자 개인 및 금융 정보 등을 탈취하는 것이 주 목적이다. 공격자의 C&C 서버에서 다운로드한 “Neurevt” 악성코드를 실행하면 [그림 1]과 같이 압축 파일 등 4개의 파일을 지정된 경로에 드롭한다. 그다음 드롭한 파일 중 RAR 파일의 압축을 해제하고, 공격자의 C&C 서버와 통신을 위한 파일을 실행해 정보 탈취 및 추가 악성코드 다운로드를 시도한다. 드롭 파일 “Neurevt” 악성코드는 ‘C:\LMPupdate\Set\” 경로에 [표 1]의 목록에 해당하는 파일을 드롭 및 실행한다.. 2021. 9. 13. 러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장 "Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 .. 2021. 9. 2. TeamViewer를 이용하여 원격 조종하는 Hydra 많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다. 접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. .. 2021. 7. 2. GO 언어로 제작된 악성코드 Klingon RAT 2019년부터 백신 프로그램 탐지 회피 및 다양한 OS 사용자 타겟으로 공격이 가능하다는 이유에서 기존의 프로그래밍 언어가 아닌 GO 언어로 제작된 악성코드가 등장하기 시작했다. 최근에는 점차 GO 언어를 사용해 제작된 악성코드가 증가하고 있다. 2021년 2월경, 자사에서는 GO 언어로 제작된 "Electro RAT" 분석글을 게시하였으며 해당 글의 링크는 아래에 첨부되어 있다. 2021.02.09 - [악성코드 분석] ElectroRAT 악성코드 분석 보고서 최근 GO 언어로 제작된 새로운 악성코드 "Klingon RAT"이 등장했다. "Klingon RAT"은 백신 프로그램 종료를 시도하며 관리자 권한을 획득한다. 최종적으로 해당 악성코드는 C&C 서버를 이용해 정보를 탈취하고, 사용자의 PC를 제.. 2021. 6. 25. 탈취한 고객정보로 가짜 Ledger 장치 발송 암호 화폐에 대한 관심이 상승하는 요즘, 암호화 하드웨어 지갑 제조업체인 Ledger 고객을 대상으로 정교한 방식의 피싱 공격이 발생하였다. Reddit을 통해 Ledger의 기기를 구매한 경험이 있는 사용자가 Ledger Nano X 장치처럼 보이는 가짜 기기를 우편으로 받았다는 글을 게시하였다. 해당 우편에는 보안상의 목적으로 새로운 장치를 사용하도록 유도하는 편지와 가짜 장치가 함께 동봉 되어있었다. 해당 기업은 작년, 사용자의 이름, 전화번호, 주소 등 고객 정보가 유출되는 사고가 발생한 바 있다. 사진 출처: https://www.reddit.com/r/ledgerwallet/comments/o154gz/package_from_ledger_is_this_legit/ 출처 [1] Bleepingc.. 2021. 6. 18. 화이자 백신 설문조사를 사칭한 피싱 메일 화이자(Pfizer)의 새로운 공짜 백신 설문 조사를 사칭한 피싱 이메일이 계속해서 유포되고 있다. Bifdefender Antispam Lab에 따르면 해당 캠페인은 4월 이후 20만 명에 달하는 사용자에게 유포되었으며, 미국을 중심으로 아일랜드, 스웨덴, 한국, 영국, 독일 등의 국가를 타겟으로 한다. 피싱메일은 “Congratulations! You can get a $50 Pfizer gift card!” 라는 제목으로 발견되었으며, 아래의 그림과 같이 설문조사를 하도록 유도한다. 설문조사를 시작하면 공격자가 만든 사이트로 리디렉션되어 피해자가 입력하는 정보를 탈취한다. 사진 출처 : https://hotforsecurity.bitdefender.com/blog/fraudsters-use-bogu.. 2021. 5. 13. 이전 1 2 3 4 다음
