잉카인터넷 시큐리티대응센터 블로그

hVNC(hidden Virtual Network Computing)의 동작을 수행하는 LOBSHOT 악성코드가 최근 발견되었다. 해당 악성코드는 광고를 이용한 Malvertising 기법을 통해 유포된 것으로 전해진다. 사용자 PC에 저장된 암호화폐 지갑 등의 정보를 탈취하고, 원격지와 통신하며 hVNC 악성 동작을 수행한다. LOBSHOT은 악성동작을 수행하기 전 사전동작으로, 안티 바이러스를 탐지한다. 대상 PC의 컴퓨터 이름과 사용자 이름이 Windows Defender 가상화에서 사용하는 것과 동일하다면 프로세스를 종료한다. 그리고 자가 복제한 파일을 실행한 후, 원본을 삭제하여 탐지가 어렵도록 한다. 실행된 복제 파일은 각 종 웹 브라우저의 확장 프로그램 중 암호화폐 지갑이 사용되는지 확인하여..

최근, Google Ads를 통해 유포되는 "LobShot" 악성코드가 발견됐다. Elastic Security Labs에 따르면, 공격자가 원격 데스크톱 프로그램인 AnyDesk로 위장한 가짜 사이트를 제작하고 Google Ads를 통해 사용자의 접속을 유도한 것으로 알려졌다. 해당 악성코드를 다운로드 후 실행하면, 'C:\ProgramData' 경로에 자가 복제본을 생성해 새로운 프로세스를 통해 실행되고 지속성을 위한 레지스트리 키를 생성한다. 이후, Microsoft Defender의 실행 여부를 확인한 뒤 피해자 PC에서 호스트 정보와 암호화폐 확장 프로그램 등의 정보를 탈취한다. 또한, "LobShot" 악성코드는 hVNC 모듈이 포함돼 있어 사용자 몰래 원격으로 PC를 제어할 수 있는 것으로 ..

최근, Google Ads를 악용해 사용자 계정을 노리는 멀버타이징 캠페인이 발견됐다. 보안 업체 SentinelOne에 따르면, 공격자가 아마존 웹 서비스(AWS)를 사칭한 피싱 사이트를 제작하고 Google Ads를 악용해 사용자들의 접속을 유도한 것으로 알려졌다. 사용자가 구글 검색창에 "AWS"를 검색하면 검색 결과에 공격자가 제작한 악성 웹 사이트가 노출된다. 해당 사이트에 접속할 경우, AWS 로그인을 가장한 피싱 사이트로 연결돼 사용자의 계정 정보 입력을 유도한다. 이후, 사용자가 로그인을 시도하면 입력한 계정 정보를 공격자에게 전송하고, 사용자를 실제 AWS 사이트로 리디렉션한다. 사진출처 : SentinelOne 출처 [1] SentinelOne (2023.02.09) - Cloud Cr..