더욱 교묘해지고 있는 금융감독원 사칭 파밍 수법 2015년 03월 21일 배우 이모씨는 자신의 공식 트위터를 통해 자신이 전자금융사기 피해를 당했다고 밝혔습니다. 공개된 트윗 내용에는 보이스 피싱을 당했다고 표현되어 있습니다. 여기서 우리는 [인터넷을 하다가 “금융감독원 개인정보유출 2차 피해예방등록 안내”라는 창이 자꾸 떠서 클릭을 했다가 속임수에 넘어가고 말았습니다.]라고 언급된 부분을 살펴보아야 합니다. 트위터에 공개된 전자금융사기 피해 내용 배우 이모씨가 트위터의 남긴 내용을 자세히 살펴보면, 보이스 피싱이 아닌 파밍(Pharming)인 것을 알 수 있습니다. 또한, 공격자는 포털 사이트 플로팅(Floating) 배너기법의 파밍수법을 사용하고 있습니다. 플로팅 배너기법의 파밍이란? 사용자를 파밍용..

악성코드 분석 리포트 2015. 3. 27. 15:33

악성파일을 다운로드받을 수 있는 인스타그램 API 버그 발견INSTAGRAM REFLECTED FILENAME DOWNLOAD 보안전문가 David Sopas가 인스타그램 API에서 RFD를 발견했다고 밝혔습니다. 이 버그는 악성 링크를 포함한 메시지를 포스팅할 수 있도록 허용합니다. 이 링크를 클릭하면 악성 파일을 다운로드받을 수 있는 페이지로 연결됩니다. ※ RFD(Reflected File Download)란? 사용자가 신뢰성 있는 도메인의 악성링크를 클릭하여 악성파일을 다운로드받는 방법입니다. 사용자가 악성링크를 통해 다운로드받은 파일을 실행시키면, 사용자의 PC는 악성코드에 감염됩니다. 기존의 웹을 통해 유포되는 악성코드와는 달리, 신뢰성 있는 도메인에 URL을 노출시켜 악성파일을 다운로드받도록..

국내외 보안동향 2015. 3. 26. 17:52

Spyware. Banker. Dridex 이메일을 통한 공격은 과거부터 성공률이 매우 높은 공격 방법 중 하나입니다. 얼마 전 크게 이슈가 되었던 국가시설의 악성코드를 비롯해, 2013년에 성행했던 카드명세서 위장 악성코드 링크 첨부 메일, 뉴스에 자주 보도되는 한글문서 취약점 악용 메일 등 이메일 공격은 매년 크고 작은 보안 사고에 시발점이 되었습니다. 이메일 공격의 감염 방식은 다양합니다. 하나는 악성코드 실행파일을 메일에 직접 첨부하는 기본적인 방법입니다. 또는 메일 내에 악성코드가 감염될 수 있는 웹링크를 삽입합니다. 첨부되는 파일 또한 다양한데, 사용자 PC 취약점을 통해 악성 실행파일이 설치되는 문서 파일을 보내기도 합니다. 한편, 최근 외국계 은행을 대상으로 여러 악성행위를 할 수 있는 이..

악성코드 분석 리포트 2015. 3. 2. 15:03

국책사업 관련 기관 근무자 대상 표적공격 분석 2015년 1월 15일 목요일, 국책사업 관련 기관 근무자를 대상으로 스피어 피싱(Spear Phishing) 공격이 포착되었습니다. 표적공격 이메일은 실제 2015년 5월 19일 진행 예정인 제50회 발명의 날 포상 계획 공고문으로 사칭했습니다. 발명의 날 포상계획 내용을 사칭한 표적공격 절차 이메일에는 '발명의날포상계획.zip' 압축파일이 첨부되어 있고, 압축 내부엔 '발명의날포상계획.scr' 악성파일이 포함돼 있습니다. 화면보호기 형식의 실행파일(.scr)이지만 이미지 아이콘으로 교묘히 조작해 수신자로 하여금 육안상 정상파일처럼 보이도록 최대한 위장했습니다. 제50회 발명의 날 기념식은 특허청이 주최하고 한국발명진흥회가 주관하는 행사로, 악성파일 제작자..

악성코드 분석 리포트 2015. 2. 25. 13:10

알약, 국내 기업 및 기관 노린 표적 해킹 공격 발견… 사용자 주의 당부해 이스트소프트가 국내 특정기업 및 기관을 상대로 한 표적 해킹 공격 징후가 연이어 포착되고 있다고 밝히며 사용자 주의를 당부했습니다. ▲국내에서 발견된 스피어피싱 사례 이번 해킹 공격 징후는 2014년 연말부터 현재까지 지속적으로 발견되어 왔으며, 특정 기업과 기관을 대상으로 공격하는 유사한 패턴의 표적 해킹 방식입니다. 이 공격 유형은 일명 ‘Sykipot 캠페인’으로 알려져 있으며, 공격대상 기업 및 기관 내부자에게 악성파일이 첨부된 다양한 내용의 이메일을 보내는 스피어피싱(Spear Phishing) 기법을 사용합니다. 이 같은 스피어피싱을 통해 악성 코드에 감염될 경우 해커가 원격으로 조종 가능한 좀비PC가 되며, 이를 통해..

이스트시큐리티 소식 2015. 2. 25. 10:18

Spyware.PWS.KRBanker.M (변종) 현재 웹사이트를 통한 악성코드 유포방식이 지속해서 증가하고 있습니다. 공격자는 취약한 웹 서버를 경유지로 이용하고 대량으로 악성코드를 유포합니다. 유포된 악성코드는 국가 간의 사이버 전쟁, 산업시설 공격, 온라인게임 계정 탈취, 랜섬웨어, 금융 정보 탈취 등 여러 종류가 존재합니다. 이러한 악성코드들은 지속적으로 변종을 만들어 백신을 우회하고 사용자를 속이기 위한 기법을 추가하기 시작했습니다. 이 악성코드는 D사에서 제작한 동영상 플레이어를 이용하여 악성 파일을 실행시키는 교묘한 방법을 사용하고 있습니다. 지금까지 정상 파일처럼 위장한 방식은 지속되어 왔지만, 이 악성코드는 정상 파일을 이용하여 악성 파일을 실행시키는 방법을 이용하고 있습니다. 또한 사용..

악성코드 분석 리포트 2015. 2. 12. 10:04

안녕하세요. 알약입니다. 2013년에 발생했던 3.20 사이버테러와 유사한 악성코드가 지난 2014년 7월 7일 전후로 다수 발견되어 이슈가 되었습니다. 이에 알약에서도 해당 이슈에 신속하게 대응했습니다. (관련내용 링크 : http://blog.alyac.co.kr/131) 그런데 이와 유사한 변종 악성코드의 최신버전들이 8월 12일에 또다시 추가로 발견되어 사용자 여러분의 각별한 주의가 필요합니다. 해당 악성파일은 국내 특정 천체망원경 쇼핑몰 관련 사이트에 이미지 파일처럼 확장자(JPG)를 교묘하게 위장하여 숨겨져 있었습니다. 이는 7월에 발견된 3.20 사이버테러 변종 악성코드와 마찬가지로, 자신의 코드분석을 방해하기 위해 다양한 방어기법을 활용하고 있어, 의도적으로 탐지회피를 위해 많은 노력을 하..

이스트시큐리티 소식 2014. 8. 12. 22:50