안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ‘Spyware.Ursnif’(이하 ‘Ursnif’) 악성코드는 ‘Gozi,’Dreambot’라는 이름의 뱅킹 트로이목마로 알려져 있습니다. 해당 악성코드는 메일 내 첨부된 Microsoft Office 악성 문서 파일에서 유포되는 것으로 알려져 있습니다. 본 악성코드는 C&C로 정보 전송 및 추가 페이로드 실행 기능이 있으며, 페이로드의 명령 제어 기능에 따라 OS 파괴, 추가 DLL 실행 등이 있어서 공격자 의도에 따라 이용자의 피해가 발생할 수 있습니다. 만일 기업에서 이 악성코드에 감염될 경우, 추가 악성코드 다운로드나 사용자 정보 탈취 등에 의해 정보 유출 및 시스템 파괴로 이어지는 피해가 발생할 수 있어 주의가 필요합니다. 특히..

악성코드 분석 리포트 2021. 3. 17. 09:00

New WastedLocker Ransomware distributed via fake program updates 러시안 사이버범죄 그룹인 Evil Corp가 새로운 랜섬웨어인 WastedLocker를 사용하기 시작한 것으로 나타났습니다. 이 랜섬웨어는 기업을 노린 타깃 공격에 사용됩니다. Indrik Spider라고도 알려진 Evil Corp 범죄 그룹은 ZeuS 봇넷의 제휴 파트너로 시작되었습니다. 시간이 지남에 따라, 이들은 피싱 이메일을 통해 뱅킹 트로이목마와 Dridex 다운로더를 배포하는데 집중했습니다. 이들의 공격이 진화함에 따라 그룹은 기업 네트워크를 노린 타깃 공격에서 Dridex 악성코드를 통해 배포되는 BitPaymer라는 랜섬웨어를 만들었습니다. NCC 그룹의 Fox-IT 보안 연..

국내외 보안동향 2020. 6. 24. 10:12

Ursnif: Long Live the Steganography and AtomBombing! 이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다. Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다. ..

국내외 보안동향 2019. 2. 11. 13:46