잉카인터넷 시큐리티대응센터 블로그

최근, 가짜 블루 스크린 창을 띄워 사용자를 속이는 악성코드가 발견됐다. 보안 업체 Cyble은 이 악성코드가 비디오 플레이어 아이콘으로 위장하고 있으며, 성인 사이트로 위장한 악성 페이지에서 유포된다고 알렸다. 해당 악성코드를 실행할 경우, 가짜 블루 스크린 창과 기술 지원 센터로 위장한 전화번호를 띄워 사용자로부터 공격자에게 연락하도록 유도한다고 알려졌다. Cyble은 의심스러운 사이트 접속을 피하고 알 수 없는 사이트에서 파일을 다운로드하지 않을 것을 권고했다. 사진출처 : cyble 출처 [1] Cyble (2023.02.28) - Blue Screen of Death Scams Target Users Visiting Fake Adult Sites https://blog.cyble.com/2023..

최근, 사이버 범죄 포럼에서 판매되고 있는 "Nexus" 악성 앱이 발견됐다. 보안 업체 Cyble은 이 악성 앱이 유튜브 광고 차단 앱인 YouTube Vanced로 위장해 피싱 사이트에서 유포된다고 알렸다. 설치된 "Nexus" 악성 앱은 피해자의 시스템에 설치된 뱅킹 앱을 확인하고 해당 뱅킹 앱의 피싱 페이지를 WebView로 띄워 공격자가 입력한 계정 정보를 탈취한다. Cyble은 구글 Play Store 또는 iOS App Store와 같은 공식 앱 스토어에서만 앱을 다운로드할 것을 권고했다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.09) - Nexus: The Latest Android Banking Trojan with SOVA Connections https://bl..

최근, 암호화폐 채굴 프로그램으로 위장한 "Creal" 인포스틸러 악성코드가 발견됐다. 보안 업체 Cyble에 따르면, 이 악성코드는 Python으로 제작됐으며, 비트코인 채굴 암호화폐으로 위장해 피싱 사이트에서 유포된다고 알려졌다. 해당 악성코드를 실행할 경우, 피해자 시스템에 악성 행위를 위한 Python 모듈이 설치되어 있는지 확인하고 설치되지 않은 모듈을 설치한다. 이후, 시작 프로그램 경로에 자가 복제본을 생성하고 암호화폐 지갑과 웹 브라우저 등의 정보를 수집한 뒤 디스코드를 통해 공격자에게 전송한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.29) - Creal: New Stealer Targeting Cryptocurrency Users Via Phishing Sites..

1. 악성코드 통계 악성코드 Top10 2023년 3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top10이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 232건이 탐지되었다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유형별로 2월과 비교하였을 때 Trojan, Worm 및 Backdoor의 진단 수가 증가했고, Virus와 Suspicious의 진단 수가 감소했다. 주 단위 악성코드 진단 현황 3월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 둘째 주까지는 2월에 비해 진단 수가 증가했지만, 셋째 주에는 감소했..

최근, 브라질의 모바일 뱅킹 사용자들을 노리는 "GoatRAT" 안드로이드 악성 앱이 발견됐다. 보안 업체 Cyble은 이 악성 앱이 브라질 중앙 은행에서 개발한 결제 플랫폼인 PIX를 사용하는 안드로이드 앱을 표적으로 한다고 알렸다. 해당 악성 앱은 PIX를 사용하는 뱅킹 앱의 실행을 탐지한 뒤, 가짜 오버레이 창을 띄워 피해자를 속이고 PIX 키 입력을 유도한다. 이후, 공격자는 입력받은 PIX 키를 사용해 피해자의 계좌에서 원하는 금액을 이체한다. 사진출처 : Cyble 출처 [1] Cyble (2023.03.14) - GoatRAT: Android Banking Trojan Variant Targeting Brazilian Banks https://blog.cyble.com/2023/03/14/g..

1. 랜섬웨어 통계 랜섬웨어 데이터 유출 통계 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 39곳의 정보를 취합한 결과이다. 2023년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 86건으로 가장 많은 데이터 유출이 있었고, “Everest” 랜섬웨어가 32건으로 두번째로 많이 발생했다. 2023년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 40%로 가장 높은 비중을 차지했고, 영국이 10% 호주가 7%로 그 뒤를 따랐다. 2023년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은..

최근, ChatGPT 크롬 확장 프로그램으로 위장해 유포되는 "FakeGPT" 악성코드가 발견됐다. 보안 업체 Guardio에 따르면, 공격자가 공식 Chrome 스토어에 악성 프로그램을 배포한 뒤 Google 스폰서 검색 결과를 사용해 사용자의 설치를 유도한 것으로 알려졌다. 해당 악성코드는 오픈소스 프로젝트인 "ChatGPT for Google"이라는 정상 프로그램과 동일한 이름을 가지며, 이 프로젝트를 기반으로 악성코드를 제작했다. 이 악성코드는 설치 이후 사용자의 페이스북 세션 쿠키를 탈취하고 계정 탈취를 시도한다. 또한, 해당 악성 동작 외에는 정상 프로그램과 동일하게 동작해 사용자의 의심을 피한 것으로 밝혀졌다. 이 악성코드는 발견 당시 약 9천명 이상의 사용자가 설치한 상태였으며 현재는 Ch..

최근, PyPI 저장소에서 Python의 유니코드 지원을 악용해 소스코드를 난독화하는 "onyxproxy" 악성 패키지가 발견됐다. Python에서는 'self'라는 일반 문자열과 유니코드를 사용해 작성된 'self'를 다른 문자열로 인식하며, 공격자는 이 점을 악용해 문자열 일치를 기반으로 하는 탐지를 회피하는 것으로 알려졌다. 보안 업체 phyum에 따르면, 공격자가 유니코드 문자와 일반 문자열을 혼합해 사용함으로써 사용자의 의심을 피하고, 이를 악용해 악의적인 코드를 실행하도록 설계했다. 이 악성코드는 실행 이후 사용자의 인증 토큰 및 개인 정보를 탈취한다. 사진출처 : Phylum 출처 [1] Phylum (2023.03.22) - Malicious Actors Use Unicode Support..

개요 최근, 이니텍 사가 웹 환경 인증 및 전자서명 솔루션인 INISAFE CrossWeb EX 제품에서 발생하는 취약점에 대한 업데이트를 공개했다. 해당 취약점을 악용한 공격이 발견되어 최신 버전으로 신속한 업데이트 적용이 권고된다. 기술 해결방안 제조사 및 이용 중인 금융 기관 홈페이지를 참고하여 취약점이 해결된 최신 버전의 프로그램으로 재설치한다. - 취약한 버전 제거 제어판의 프로그램 및 기능에서 INISAFE CrossWeb EX V3 버전을 확인 후 제거한다. - 최신 버전 설치 INISAFE CrossWeb EX V3 v3.3.2.41 및 이후 버전으로 설치한다. 이와 관련한 더 자세한 정보 및 해결 방안은 업체의 공식 문서를 참고할 것을 권고한다. 참고자료 https://knvd.krcer..

Royal 랜섬웨어는 2022년 9월경 등장해 미국 등의 국가에서 중요 인프라를 대상으로 한 공격에 활발히 사용되고 있다. 지난 11월에는 처음으로 LockBit 랜섬웨어를 제치고 사이버 범죄 활동에 가장 많이 사용된 랜섬웨어로 기록됐다. 또한, 최근에는 미국 보안 기관인 CISA에서 Royal 랜섬웨어에 대한 사이버 보안 권고 AA23-061A를 발표하기도 했다. 해당 랜섬웨어에 감염될 경우 암호화된 파일에 ".royal" 확장자를 추가하고 "README.TXT"란 이름의 랜섬노트를 생성한다. 이후, 랜섬노트를 통해 피해자에게 감염된 파일의 복구를 빌미로 랜섬머니를 요구한다. 1. 행위 분석 1.1. 파일 실행 인자값 Royal 랜섬웨어는 “-path”, “-id” 및 “-ep” 인자를 사용한다. [표..