잉카인터넷 시큐리티대응센터 블로그

최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 “Ov3r_Stealer” 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격 증명과 암호 화폐 등의 민감한 정보를 탈취한다. “Ov3r_Stealer”는 [그림 1]과 같이 윈도우 에러 리포팅 서비스인 “WerFaultSecure.exe”를 실행하고, DLL 사이드 로딩 기법을 이용해 악성 DLL을 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다. 가짜 구인 광고에 포함된 링크에 접속하면 악성 CPL(제어판) 파일이 다운로드되며, 해당 파일은 PowerShel..

최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다. “SpyLoan” 앱은 먼저 전화번호 인증을 이용해 사용자 등록 및 로그인을 요청하며, 미리 설정된 국가 번호는 대상 국가를 특정하고 있음을 알 수 있다. 로그인에 성공하면, 데이터를 수집하기 위해 과도한 권한을 요청한다. 이후, 대출에 필요한 과정인 것처럼 사용자를 속여 연락처, 신분증 및 은행 정보 등 민감한 정보를 입력하도록 유도한다. 사용자가 입력한 개인 ..

최근 소프트웨어 크랙이나 치트 파일로 위장되어 “TempStealer” 정보 탈취 악성코드가 배포되고 있다. “TempStealer” 악성코드는 64비트 운영체제를 대상으로 제작되었으며 전 세계를 타겟으로 정보와 데이터를 탈취한다. 해당 악성코드는 현재 다크웹에서 15~49 달러에 판매되고 있으며 사용자의 PC에서 암호화폐 지갑, 시스템 정보, 브라우저 데이터, 소프트웨어 토큰 등을 탈취하여 공격자의 C&C 서버로 전송한다. Analysis “TempStealer”는 공격자의 C&C 서버와 연결을 시도한다. 공격자 서버에 연결이 완료되면 본격적인 정보 탈취 동작을 수행한다. 악성 파일 내부에는 타겟이 되는 암호화폐 지갑에 대한 난독화 데이터가 하드코딩되어 있다. 디코딩 이후에 확인된 타겟 암호화폐 지갑의..

최근, 미국의 네트워크 장비 제조 업체 Cisco가 DDoS 공격 도구로 위장한 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 이 도구가 러시아 웹사이트를 표적으로 하는 DDoS 공격 도구로 위장하고 있으며 주로 Telegram 메신저를 통해 유포된다고 알려졌다. 또한, 이 도구는 "Phoenix InfoStealer" 로 구성된 악성코드이며 실행할 경우 NFT관련 지갑 정보와 암호화폐 관련 정보를 수집해 공격자의 서버에 전송한다고 알렸다. Cisco는 인터넷 채팅방에 업로드 된 소프트웨어를 설치하지 않도록 주의하고, 이메일의 첨부파일은 다운로드 전에 유효성 검사를 해야 한다고 권고했다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco Talosintelligence ..

Avast Threat Labs의 연구원들이 과거 유행하던 정보 탈취형 악성코드 Raccoon Stealer가 Telegram을 악용하는 기능을 추가했다고 발표했다. Raccoon Stealer와 관련한 자세한 정보는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다. 2019.11.15 - Raccoon Stealer 악성코드 분석 보고서 연구원들에 따르면 최근 발견된 Raccoon Stealer 악성코드는 Telegram 인프라에 C2 주소를 저장한다. 또한, 연구원들은 해당 악성코드가 C2 명령을 통해 Clipboard Stealer와 WhiteBlackCrypt Ransomware 등의 추가 악성코드 파일을 다운로드해 실행한다고 언급했다. 사진 출처 : Avast Threat La..

최근 암호화폐 지갑 등에서 정보를 탈취하는 BHUNT 악성코드가 발견됐다. 보안 업체 BitDefender는 BHUNT 악성코드가 Microsoft 제품의 불법 인증 툴인 KMSpico를 통해 사용자들에게 유포됐으며, 특정 업체에서 훔친 디지털 서명을 사용했다고 알렸다. 또한, Blackjack 등으로 이름 붙여진 5개의 모듈을 사용해 암호화폐 지갑 정보와 브라우저 암호 등을 탈취할 수 있다고 언급했다. 출처 [1] BitDefender (2022-01-25) - Poking Holes in Crypto-Wallets: A Short Analysis of BHUNT Stealer https://www.bitdefender.com/blog/labs/poking-holes-in-crypto-wallets-a..

공격자는 언제나 사람들을 유혹하기 위해 유행하는 콘텐츠를 활용한다. 최근 넷플릭스의 오징어 게임이 세계적인 인기를 끌면서 이와 관련된 안드로이드 악성 앱이 우후죽순으로 늘고 있다. 이번에 발견된 안드로이드 앱은 겉으로는 바탕화면을 오징어 게임과 관련된 이미지로 바꾸는 기능을 가졌지만, 백그라운드에서 Joker 라는 이름으로 알려진 악성 앱을 다운로드하고 실행한다. 악성 앱을 실행하면 서버로부터 so 확장자의 추가 악성 파일을 다운로드하고 로딩한다. so 확장자 파일은 또 다른 서버로부터 암호화된 Joker 악성 앱을 다운로드하며, 복호화 후 실행하여 본격적인 악성 행위를 준비한다. 다운로드된 Joker 는 사용자 몰래 유료 구독 서비스를 결제하는 기능을 수행한다. C&C 서버로부터 이와 관련된 작업 데이..

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다. 해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다. 아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다. 2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow 'SparrowDoor' 악성코드는 보안 프로그램으로..

지난 2021년 3월부터 구글 플레이를 포함한 서드 파티 앱 스토어에 업로드되어 만 명 이상의 피해자를 발생시킨 새로운 안드로이드 악성 앱이 발견되었다. 이를 처음으로 발표한 해외 정보 보안 회사 Zimperium 으로부터 FlyTrap 으로 명명된 이 악성 앱은 기존의 정보 탈취형 앱과는 다르게 Facebook 과 관련된 개인정보만을 노린다. FlyTrap 은 무료 쿠폰 제공, 설문 조사 투표 앱, 등으로 위장한 후, 앱 기능을 이용하기 위해 사용자에게 Facebook 계정으로 접속할 것을 요구한다. 아래 앱은 평소에는 무료 Netflix 쿠폰을 제공하는 앱으로 위장하지만, C&C 서버로부터 명령을 받으면 Facebook 계정 접속 버튼이 활성화된다. 활성화된 버튼을 클릭하면 정상적인 Facebook ..

Microsoft를 사칭한 비밀번호 변경 피싱 메일 주의! 최근 Microsoft를 사칭해 Outlook 계정의 비밀번호를 변경하라는 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 해당 피싱 메일은 링크가 첨부된 메일로 비밀번호가 만료돼 변경해야한다는 내용으로 링크로 접속하도록 유도하고 있다. 첨부된 링크에 접속할 경우 Microsoft 로그인 사이트로 연결되고, 비밀번호를 입력하도록 유도한다. 그 후, 패스워드를 입력하면 잘못된 비밀번호라는 문구와 함께 다시 입력할 것을 요청한다. 이는 피싱 사이트라는 것을 판별하기 위해 사용자가 무작위로 패스워드를 입력하는 것에 대한 방안으로 적용된 기법으로 추정된다. 두번째 패스워드를 입력하면 공격자의 또 다른 서버로 리디렉션된다. 리디렉션된 사이트는 연락을 달..