Infostealer19 다시 등장한 TyphonReborn 악성코드 지난 7월에 해킹 포럼을 통해 판매된 Typhon Stealer가 업그레이드된 모습으로 등장하였다. 최근 발견된 악성코드는 TyphonReborn 이라는 이름으로 판매되며, 텔레그램을 통해 구매가 가능하다. 해당 악성코드는 백신 프로그램 및 가상 환경과 디버깅 환경을 탐지하고, 사용자 PC의 각종 정보와 암호화페 지갑 정보를 탈취하는 등의 동작을 수행한다. 해당 악성코드는 다음의 텔레그램 채널에서 판매되고 있다. 악성 동작이 수행되기 전에 실행 환경이 가상 환경인지, 백신 프로그램이 실행 중인지, 디버깅 프로그램이 실행 중인지를 확인한다. 만약 그렇다면, 프로세스를 종료하고 실행파일을 삭제한다. 그리고 사용자 이름과 국가 정보를 획득하여 특정 대상을 제외한다. 이때 제외되는 국가의 정보는 다음과 같다. .. 2022. 11. 21. PyPI 저장소에서 발견된 악성 Python 패키지 최근, 보안 업체 CheckPoint가 Python 오픈소스 패키지 저장소인 PyPI에서 10개의 악성 패키지를 발견했다. CheckPoint의 보고서에 따르면, 공격자가 PyPI 저장소에 정상 패키지로 위장한 악성 패키지를 업로드해 사용자의 설치를 유도했다고 밝혀졌다. 해당 패키지를 설치할 경우, setup.py 설치 스크립트에 포함된 인포스틸러 악성코드가 함께 설치돼 사용자의 로컬 계정 및 개인 소스코드 등을 탈취한다. CheckPoint의 보고 이후 악성 패키지들이 PyPI에서 삭제 조치 됐으며, CheckPoint 측은 사용자들에게 오픈소스인 PyPI 패키지를 사용하는 경우 보안에 유의할 것을 권고했다. 사진출처 : CheckPoint 출처 [1] CheckPoint (2022.08.08) - C.. 2022. 8. 11. 디스코드를 악용하는 SaintStealer 악성코드 최근 사용자 PC에서 정보를 탈취하는 “SaintStealer” 악성코드가 발견됐다. 해당 악성코드를 실행하면 웹 브라우저의 쿠키와 자격 증명 정보를 수집하고, 텔레그램과 같은 메신저 및 게임 프로그램 등에서 획득한 토큰 정보를 공격자의 디스코드 채팅 방으로 전송한다. “SaintStealer” 악성코드가 정상적으로 실행될 경우 사용자 PC에서 수집한 정보가 ZIP 파일로 압축되어 공격자에게 전송되며, [그림 1]은 직접 디스코드 서버를 구축한 후 웹훅(Webhook)을 사용해 정보를 획득한 결과이다. 분석 및 중복 실행 방지 “SainStealer” 악성코드는 중복 실행 방지를 목적으로 프로세스 목록을 확인해 동일한 프로세스가 실행 중이면 실행한 악성코드를 종료한다. 또한, 샌드박스 기반 프로그램인 “.. 2022. 6. 15. 러시아 DDoS 공격 도구로 위장한 악성코드 최근, 미국의 네트워크 장비 제조 업체 Cisco가 DDoS 공격 도구로 위장한 악성코드를 발견했다고 발표했다. 해당 업체에 따르면 이 도구가 러시아 웹사이트를 표적으로 하는 DDoS 공격 도구로 위장하고 있으며 주로 Telegram 메신저를 통해 유포된다고 알려졌다. 또한, 이 도구는 "Phoenix InfoStealer" 로 구성된 악성코드이며 실행할 경우 NFT관련 지갑 정보와 암호화폐 관련 정보를 수집해 공격자의 서버에 전송한다고 알렸다. Cisco는 인터넷 채팅방에 업로드 된 소프트웨어를 설치하지 않도록 주의하고, 이메일의 첨부파일은 다운로드 전에 유효성 검사를 해야 한다고 권고했다. 사진출처 : Cisco Talosintelligence 출처 [1] Cisco Talosintelligence .. 2022. 3. 17. 법무부 사칭한 악성 앱 주의 최근, 공공기관을 사칭하는 보이스 피싱, 스미싱 문자, 악성 앱이 증가하고 있어 사용자들의 주의가 필요하다. 주로 이렇게 공공기관, 금융, 포털 등을 사칭한 악성 앱 들은 육안상으로는 구별이 어려울 정도로 정상 앱과 유사하게 만들 뿐만 아니라 사용자들의 관심을 유도하기 위해 다양한 형태의 문자 메시지를 이용하고 있는 것으로 보여 진다. 아래의 링크는 공공기관을 사칭한 내용에 대해 게시된 자사 블로그 글이다. ▶2022.02.16 - 교통민원 24(이파인) 으로 위장한 악성 앱 주의 법무부로 사칭한 악성 앱을 설치 후 실행하면 정상 앱과는 다르게 과도한 권한을 요구하는 것을 확인 할 수 있다. 해당 악성 앱은 과도한 권한 뿐만 아니라 접근성 서비스와 함께 백그라운드 동작도 허용해주길 요구한다. 백그라운드 .. 2022. 3. 3. CapraRAT 악성 앱 주의 지난 2월 초, "Trend Micro" 에서 인도의 정부 기관 및 군사 기관을 상대로 정보 탈취 공격을 시도하는 "CapraRAT" 악성 앱을 발견하였다. 해당 악성 앱은 백그라운드 동작으로 단말기 내 다양한 정보들을 수집하고 외부 원격지의 명령을 받아 추가 악성 동작을 수행하기 때문에 사용자들의 주의가 필요하다. 먼저 악성 앱이 실행 되면, 사용자가 알아차리기 어렵도록 아이콘을 숨김 속성으로 변경하고 과도한 권한을 요구한다. 그 후, 백그라운드 동작으로 단말기 내 SMS 정보, 통화 기록, 이메일 주소 등에 접근하여 데이터를 수집 한다. 또한, 단말기의 위치 정보를 수집하기 위해 연결된 네트워크 정보와 GPS 값을 읽고 수집한다. 수집 한 정보들은 외부 원격지로 전송한다. 정보 수집 뿐만 아니라, 명.. 2022. 2. 25. 이전 1 2 3 4 다음
