기업

arrow_downward최신기사

불법 다운

“불법 소프트웨어 받으면 감염”…안랩, '암호화폐 악성코드’ 주의보

안랩이 최근 상용 소프트웨어 불법 사용자를 노린 ‘암호화폐 채굴형 악성코드(이하 마이너 악성코드)’를 발견했다. 공격자는 먼저 한글로 작성된 피싱 사이트를 제작했다. 사용자가 검색창에 ‘한글 문서 프로그램 for Mac 크랙’, ‘crack Autocad 2006 64 Bit Keygen’ 등의 상용 소프트웨어 불법사용을 위한 키워드를 입력하면 검색 결과 페이지에 해당 피싱 사이트가 노출된다. 이 피싱 사이트에 접속하면 불법 소프트웨어 사용 후기를 위장한 내용이 나오고, 이후 정상 파일 다운로드 사이트와 유사하게 제작된 또 다른 피싱 사이트로 자동으로 연결된다. 이동한 페이지에서 사용자가 ‘다운로드’ 버튼을 누르면 실행파일(.exe)이 포함된 압축파일(.zip)이 다운로드 된다. 사용자가 내려받은 파일을 압축해제하고 실행하면 사용자 몰래 암호화폐 ‘모네로’를 채굴하는 마이너 악성코드가 설치된다. 해당 악성코드는 감염 PC의...

악성코드

파일만 열어도 감염…안랩 "학술 문서 위장한 악성코드 주의"

안랩은 최근 대학가에서 논문심사 및 학술대회 등이 열리는 가운데 학술 관련 문서 파일로 위장한 악성코드를 발견해 사용자 주의가 필요하다고 8일 밝혔다. 안랩에 따르면 악성코드 공격자는 '2020_OOO(특정 학회 이름)_초전도 논문.hwp', '학술대회.hwp' 등 학술 관련 파일명으로 위장한 악성코드를 포함한 파일을 유포했다. 사용자가 최신 보안패치를 하지 않은 한글(hwp) 프로그램으로 해당 파일을 실행하면 악성코드에 감염된다. 이 파일은 실행 즉시 악성코드 감염이 이루어져 문서를 바로 닫아도 감염될 수 있다. 악성코드는 공격자의 C&C 서버와 통신해 추가 악성코드를 내려받아 실행한다. 추가 악성코드는 다운로드 및 문서 폴더 목록, 감염 PC의 IP주소 등 주요 정보를 탈취한다. 악성코드의 피해를 줄이기 위해서는 △OS(운영체제) 및 인터넷 브라우저(IE·크롬·파이어폭스 등), 오피스 SW 등 프로그램...

부동산투자

안랩, "부동산 투자 관련 악성메일 유의하세요"

최근 유포되고 있는 부동산 투자 관련 사칭 메일 열람에 주의가 요구된다. 안랩은 ‘※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp’이라는 제목의 악성메일과 동일한 이름의 파일에 첨부된 악성코드를 발견했다고 26일 밝혔다. 공격자는 사용자 의심을 피하기 위해 악성 문서 내에 특정 토지에 대한 정보와 사진 및 지도 이미지 등을 포함해 정상 파일인 것처럼 위장했다. 사용자가 감염 사실을 쉽게 알아채기 어려운 부분이다. 악성코드는 PC 감염 직후 공격자의 C&C 서버로 추정되는 특정 URL에 접속해 추가 악성코드를 다운로드하고, 악성 행위를 수행한다. 안랩은 현재 안랩 V3에서 해당 악성코드를 진단할 수 있다고 전했다. 안랩은 이 같은 피해를 줄이기 위해 △이메일 발신자 확인 △출처 불분명 메일의 첨부파일/URL 실행금지 △운영체제 및 인터넷 브라우저,...

보안

암호화폐 지갑 주소 바꿔치기 기승... 복사하는 틈 노린다

사용자의 암호화폐 지갑 주소를 바꿔 공격자의 것으로 변경하는 악성코드가 발견돼 주의가 요구된다. 19일 안랩에 따르면 보안이 취약한 웹사이트에 악성코드 유포도구 '익스플로잇 킷'을 이용한 해킹 사례가 포착됐다. 익스플로잇 킷이 접속한 PC내 취약점을 분석한 후 악성코드를 설치하는 방식이다. 악성코드는 사용자의 PC를 모니터링하며 비트코인, 이더리움, 라이트코인, 지캐시, 비트코인캐시 등의 암호화폐 지갑 주소를 복사하는 시점을 파악한다. 사용자가 지갑 주소를 붙여넣기 할 때 공격자(해커)의 주소로 바꿔치기 하는 수법을 사용한다. 지갑 주소를 다시 확인하지 않고 암호화폐를 전송하면 공격자의 지갑으로 전송된다. 이번 공격은 암호화폐 지갑 주소가 길고 복잡해 별도로 저장한 후 복사하는 형태가 많다는 점을 악용한 것이다. 안랩은 피해 예방책으로 ▲암호화폐 거래 시 복사한 지갑 주소의 변조...

공정거래위원회

공정위 사칭 메일 악성코드 ‘비다르’ 주의보

  공정거래위원회를 사칭한 메일이 유포돼 사용자들의 피해가 우려되고 있다. 안랩은 공정거래위원회를 사칭한 메일을 통해 감염PC의 정보를 유출하는 ‘비다르(Vidar) 악성코드’ 유포 사례를 알리며 사용자들의 주의가 필요하다고 13일 밝혔다. 유포자는 ‘[공정거래위원회]전자상거래 위반행위 조사통지서’라는 제목의 메일을 ‘김OO 사무관’이라는 발신자 이름을 사용해 무작위로 발송했다. 본문에는 메일 수신자에게 ‘부당 전자상거래 신고’가 제기되어 조사를 실시할 예정이라고 알리며 ‘첨부한 서류에 서명을 기재할 것’을 요구해 첨부파일 실행을 유도했다. 첨부된 ‘전산 및 비전산자료 보존 요청서.zip’이라는 이름의 압축파일을 해제하면 각각 PDF 파일과 한글 문서파일의 아이콘을 사용해 정상 문서파일로 위장한 악성코드 실행파일이 나타난다. 두 문서 중 1개라도 실행하면 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 ‘비다르 악성코드’에 감염된다....

ESRC

"'e-Ticket 확인증' 주의보" 전자항공권 사칭 해킹 메일 대량 배포

이스트시큐리티 시큐리티대응센터(ESRC)가 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어, 각별한 주의와 보안 강화가 필요하다고 강조했다. ESRC는 이번 공격이 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 밝혔다. 첨부파일에는 'e-ticket 확인증_(랜덤숫자).iso' 파일명의 압축파일을 첨부했다. 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도한다. 'e-ticket 확인증_66016630.pdf.scr' 파일은 닷넷 기반으로 제작된 악성코드다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행한다. 사용자가 파일 확인을 위해 압축 파일을 해제하는 순간 악성파일을 내려받게 된다.  ‘e-Ticket 확인증_95291015.iso’ 파일 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타나면서 컴퓨터를 감염시킨다. 이메일에 첨부됐던...

smb

"가장 위험한 악성코드" 트릭봇, 구글 지메일도 감염

만일 악성코드가 유기 생명체였다면, 세상은 역사상 최악의 위기를 맞게 되었을지도 모른다. 악성코드 '트릭봇(TrickBot)'은 2016년 처음 확인된 이후 맹위를 떨치고 있다. 기업과 정부기관은 트릭봇을 가장 위험한 악성코드로 분류하고 있다. 전문가들은 트릭봇이 현재까지 2억5천만건의 이메일 계정을 감염시킨 것으로 추정하고 있다. 트릭봇과 그 영향을 주의 깊게 살펴보고 있는 보안업체 딥인스팅트에 따르면 이 악성코드가 최근 더 진화했다. 대표적인 예가 트릭부스터(TrickBooster)다. 감염된 기기를 통해 다른 기기로의 악성코드를 빠르게 번식시키는 기능을 한다. 트릭봇은 금전갈취 악성코드의 일종이다. 예를 들자면 인사부서 앞으로 보내는 이력서 등을 가장해 확산한다. 마이크로소프트 워드나 엑셀에서 파일을 여는 동시에 악성코드를 퍼트려 기기를 감염시킨다. 감염 통로는 다양하지만, 전형적인 예가 마이크로소프트 윈도우에서 사용되는 SMB(Server Message Block)...

KISA

인터넷 진흥원, MS RDP 취약점 보안 강화 촉구

한국인터넷진흥원은 마이크로소프트(MS) 윈도우 제품 원격 접속·관리 기능(Remote Desktop Protocol, RDP)을 통해 악성코드를 설치 및 실행 할 수 있는 취약점이 발견되어 영향을 받는 제품 사용자의 긴급 보안 업데이트 적용 등 보안 강화를 당부했다. 이번 취약점은 사용자 조작 없이도 자가 전파해 감염을 유발시키는 웜 형태의 악성코드와 통합이 가능하여 사용자에게 심각한 피해를 줄 수 있는것으로 알려졌다. 지난 2017년 세계적으로 큰 피해가 발생했던 워너크라이(WannaCry) 랜섬웨어와 유사한 방식으로 취약한 PC에 악성코드 전파가 가능하다. 영향을 받는 제품은 윈도우 XP, 7, 윈도우 서버 2003, 2008이 해당된다. MS는 취약점을 개선한 보안 업데이트를 배포하고 있으며, 해당 윈도우 제품 사용자들은 MS 홈페이지 또는 윈도우 업데이트 기능을 통해 보안 업데이트를 진행해야...

모네로

안랩, 성인게임 위장 '모네로' 채굴하는 악성코드 주의보

최근 유료 파일 공유 사이트에서 성인 게임을 위장해 암호화폐를 채굴하는 악성코드가 유포되고 있다. 안랩은 5월4일 이를 알리며 주의를 당부했다. 사용자가 해당 게임 파일을 내려받아 압축을 해제하면 게임 실행 파일 및 실행에 필요한 파일들이 나타난다. 이때 게임 파일에 표함된 악성코드가 암호화폐 채굴 프로그램을 사용자 몰래 다운로드해 설치한다. 사용자는 악성코드에 감염된 사실을 알기 어렵다. 다운로드한 게임이 정상적으로 실행되고 암호화폐 채굴 프로그램은 특정 외산 백신 프로그램으로 위장했기 때문이다. 실행된 암호화폐 채굴 프로그램은 '모네로' 암호화폐를 채굴한다. 암호화폐 채굴에는 사용자의 PC 자원이 몰래 사용되기 때문에 PC 속도 저하나 시스템 과부하를 일으킬 수 있다. 해당 악성코드가 담긴 게시물은 현재 삭제된 상태다. 하지만 다른 종류의 게임을 위장해...

apt

첩보, 파괴, 금전 유출…세계를 뒤흔드는 해킹조직 ‘라자루스’

경찰청 사이버안전국은 지난 3월 발생한 금융자동화기기(ATM) 해킹이 북한 소행이라고 최근 공식 발표했다. 이 사건은 청호이지캐쉬 ATM 63대를 해킹해 은행·카드사 고객·금융정보 23만8073건을 유출, 국내외로 유통해 복제카드를 만든 뒤 현금 인출, 대금결제 등에 사용되는 피해를 발생시켰다. 경찰은 북한 해커로부터 금융정보를 넘겨받아 불법으로 사용한 혐의로 해외 정보판매 총책인 중국동포 허모(45)씨와 복제카드를 만들어 사용한 한국인 손모(33)씨 등 4명을 정보통신망법 위반 등 혐의로 구속했다. 또 중국에 거주 중인 공범 A씨 등 3명을 쫓고 있다고 밝혔다. 경찰의 이번 수사결과가 발표되기 전인 지난 7월 러시아 보안업체 카스퍼스키랩은 이 ATM 해킹에 사용된 악성코드와 기술이 북한과 연관된 해킹조직으로 추정되고 있는 ‘라자루스(Lazarus)’의 공격 방식과 유사하다는 조사 결과를 내놨다. 라자루스는 지난...