보안

arrow_downward최신기사

IT커뮤니티

유명 IT커뮤니티 자료실, 개발용 SW 가장한 '악성코드 유포'

안랩은 최근 국내 유명 IT커뮤니티 사이트 내 자료실 게시판에서 악성코드 유포 사례를 발견해 주의를 당부했다. 먼저 공격자는 소프트웨어 개발자 등 IT업계 종사자가 이용하는 국내 IT커뮤니티 사이트의 자료실 게시판에 개발용 프로그램 소개를 위장해 게시물을 올렸다. 게시물의 첨부파일에는 공격자가 악성코드를 삽입해 변조해놓은 개발용 유틸리티 프로그램(해외 무료 소프트웨어) 설치 파일을 압축파일 형태로 업로드해 커뮤니티 이용자의 다운로드를 유도했다. 만약 사용자가 게시물의 첨부파일을 내려 받아 설치하면 악성코드에 즉시 감염된다. 이 악성코드는 감염 이후 공격자 C&C(Command & Control) 서버(공격자가 악성코드를 원격 조정하기 위해 사용하는 서버)와 통신하며 추가 악성코드 다운로드, 사용자 정보 탈취 등 악성 행위를 수행해 다양한 피해를 일으킬 수 있다. 특히 감염이 되어도 내려받은 프로그램이...

비대면

안랩이 말하는 '휴가철 악성코드와 거리두기' 3가지 방법

본격적인 여름 휴가철을 맞아, 휴가를 준비 중인 사람들을 겨냥한 사이버 공격들이 크게 증가할 것으로 예상되고 있다. 보안 전문기업 안랩은 “올해는 코로나19 확산으로 인해 생겨난 비대면 트렌드를 노린 공격도 보고되고 있다”며 휴가철에 특히 주의해야 할 보안 지침들을 공개했다. ‘집콕’ 중에는 불법 다운로드와 거리두기 올해는 코로나19를 피해 휴가 중 실내에서 영화, 드라마, 게임 등의 콘텐츠를 즐기는 사람들이 크게 늘어날 것으로 전망되고 있다. 안랩은 “이런 트렌드를 노려 온라인 인기 콘텐츠를 사칭한 악성코드가 유포되는 것에 주의하라”고 전했다. 실제로 최근 토렌트 같은 파일 공유 사이트에서는 최신 영화로 위장한 악성코드 유포 사례들이 발견되고 있다. 또 남녀노소를 불문하고 인기인 트로트 제목, TV 프로그램, 만화책, 게임 등을 다운로드하는...

불법 다운

“불법 소프트웨어 받으면 감염”…안랩, '암호화폐 악성코드’ 주의보

안랩이 최근 상용 소프트웨어 불법 사용자를 노린 ‘암호화폐 채굴형 악성코드(이하 마이너 악성코드)’를 발견했다. 공격자는 먼저 한글로 작성된 피싱 사이트를 제작했다. 사용자가 검색창에 ‘한글 문서 프로그램 for Mac 크랙’, ‘crack Autocad 2006 64 Bit Keygen’ 등의 상용 소프트웨어 불법사용을 위한 키워드를 입력하면 검색 결과 페이지에 해당 피싱 사이트가 노출된다. 이 피싱 사이트에 접속하면 불법 소프트웨어 사용 후기를 위장한 내용이 나오고, 이후 정상 파일 다운로드 사이트와 유사하게 제작된 또 다른 피싱 사이트로 자동으로 연결된다. 이동한 페이지에서 사용자가 ‘다운로드’ 버튼을 누르면 실행파일(.exe)이 포함된 압축파일(.zip)이 다운로드 된다. 사용자가 내려받은 파일을 압축해제하고 실행하면 사용자 몰래 암호화폐 ‘모네로’를 채굴하는 마이너 악성코드가 설치된다. 해당 악성코드는 감염 PC의...

악성코드

파일만 열어도 감염…안랩 "학술 문서 위장한 악성코드 주의"

안랩은 최근 대학가에서 논문심사 및 학술대회 등이 열리는 가운데 학술 관련 문서 파일로 위장한 악성코드를 발견해 사용자 주의가 필요하다고 8일 밝혔다. 안랩에 따르면 악성코드 공격자는 '2020_OOO(특정 학회 이름)_초전도 논문.hwp', '학술대회.hwp' 등 학술 관련 파일명으로 위장한 악성코드를 포함한 파일을 유포했다. 사용자가 최신 보안패치를 하지 않은 한글(hwp) 프로그램으로 해당 파일을 실행하면 악성코드에 감염된다. 이 파일은 실행 즉시 악성코드 감염이 이루어져 문서를 바로 닫아도 감염될 수 있다. 악성코드는 공격자의 C&C 서버와 통신해 추가 악성코드를 내려받아 실행한다. 추가 악성코드는 다운로드 및 문서 폴더 목록, 감염 PC의 IP주소 등 주요 정보를 탈취한다. 악성코드의 피해를 줄이기 위해서는 △OS(운영체제) 및 인터넷 브라우저(IE·크롬·파이어폭스 등), 오피스 SW 등 프로그램...

부동산투자

안랩, "부동산 투자 관련 악성메일 유의하세요"

최근 유포되고 있는 부동산 투자 관련 사칭 메일 열람에 주의가 요구된다. 안랩은 ‘※(창고허득)경기 이천 율면 월포리.9980평.급18억.토목완.hwp’이라는 제목의 악성메일과 동일한 이름의 파일에 첨부된 악성코드를 발견했다고 26일 밝혔다. 공격자는 사용자 의심을 피하기 위해 악성 문서 내에 특정 토지에 대한 정보와 사진 및 지도 이미지 등을 포함해 정상 파일인 것처럼 위장했다. 사용자가 감염 사실을 쉽게 알아채기 어려운 부분이다. 악성코드는 PC 감염 직후 공격자의 C&C 서버로 추정되는 특정 URL에 접속해 추가 악성코드를 다운로드하고, 악성 행위를 수행한다. 안랩은 현재 안랩 V3에서 해당 악성코드를 진단할 수 있다고 전했다. 안랩은 이 같은 피해를 줄이기 위해 △이메일 발신자 확인 △출처 불분명 메일의 첨부파일/URL 실행금지 △운영체제 및 인터넷 브라우저,...

보안

암호화폐 지갑 주소 바꿔치기 기승... 복사하는 틈 노린다

사용자의 암호화폐 지갑 주소를 바꿔 공격자의 것으로 변경하는 악성코드가 발견돼 주의가 요구된다. 19일 안랩에 따르면 보안이 취약한 웹사이트에 악성코드 유포도구 '익스플로잇 킷'을 이용한 해킹 사례가 포착됐다. 익스플로잇 킷이 접속한 PC내 취약점을 분석한 후 악성코드를 설치하는 방식이다. 악성코드는 사용자의 PC를 모니터링하며 비트코인, 이더리움, 라이트코인, 지캐시, 비트코인캐시 등의 암호화폐 지갑 주소를 복사하는 시점을 파악한다. 사용자가 지갑 주소를 붙여넣기 할 때 공격자(해커)의 주소로 바꿔치기 하는 수법을 사용한다. 지갑 주소를 다시 확인하지 않고 암호화폐를 전송하면 공격자의 지갑으로 전송된다. 이번 공격은 암호화폐 지갑 주소가 길고 복잡해 별도로 저장한 후 복사하는 형태가 많다는 점을 악용한 것이다. 안랩은 피해 예방책으로 ▲암호화폐 거래 시 복사한 지갑 주소의 변조...

공정거래위원회

공정위 사칭 메일 악성코드 ‘비다르’ 주의보

  공정거래위원회를 사칭한 메일이 유포돼 사용자들의 피해가 우려되고 있다. 안랩은 공정거래위원회를 사칭한 메일을 통해 감염PC의 정보를 유출하는 ‘비다르(Vidar) 악성코드’ 유포 사례를 알리며 사용자들의 주의가 필요하다고 13일 밝혔다. 유포자는 ‘[공정거래위원회]전자상거래 위반행위 조사통지서’라는 제목의 메일을 ‘김OO 사무관’이라는 발신자 이름을 사용해 무작위로 발송했다. 본문에는 메일 수신자에게 ‘부당 전자상거래 신고’가 제기되어 조사를 실시할 예정이라고 알리며 ‘첨부한 서류에 서명을 기재할 것’을 요구해 첨부파일 실행을 유도했다. 첨부된 ‘전산 및 비전산자료 보존 요청서.zip’이라는 이름의 압축파일을 해제하면 각각 PDF 파일과 한글 문서파일의 아이콘을 사용해 정상 문서파일로 위장한 악성코드 실행파일이 나타난다. 두 문서 중 1개라도 실행하면 암호화폐 지갑 정보, 메신저 계정정보, 인터넷 브라우저 정보 등을 유출하는 ‘비다르 악성코드’에 감염된다....

ESRC

"'e-Ticket 확인증' 주의보" 전자항공권 사칭 해킹 메일 대량 배포

이스트시큐리티 시큐리티대응센터(ESRC)가 국내 항공사의 전자 항공권 티켓(e-티켓) 확인증으로 위장한 해킹 이메일이 다수 유포되고 있어, 각별한 주의와 보안 강화가 필요하다고 강조했다. ESRC는 이번 공격이 정교한 한국어로 작성된 ‘**항공 e-티켓 확인증입니다’ 제목의 이메일에 악성 파일을 첨부해 사용자를 현혹하고 있다고 밝혔다. 첨부파일에는 'e-ticket 확인증_(랜덤숫자).iso' 파일명의 압축파일을 첨부했다. 이메일 내용 본문에서도 정교한 한국어를 사용하여, 메일 수신자로 하여금 첨부파일을 열어보도록 유도한다. 'e-ticket 확인증_66016630.pdf.scr' 파일은 닷넷 기반으로 제작된 악성코드다. C2 서버를 통해 추가 페이로드를 다운로드 역할을 수행한다. 사용자가 파일 확인을 위해 압축 파일을 해제하는 순간 악성파일을 내려받게 된다.  ‘e-Ticket 확인증_95291015.iso’ 파일 압축을 해제하면 아이콘과 확장자명을 PDF 문서로 위장한 ‘e-Ticket 확인증_66016630.pdf.scr’ 파일이 나타나면서 컴퓨터를 감염시킨다. 이메일에 첨부됐던...

smb

"가장 위험한 악성코드" 트릭봇, 구글 지메일도 감염

만일 악성코드가 유기 생명체였다면, 세상은 역사상 최악의 위기를 맞게 되었을지도 모른다. 악성코드 '트릭봇(TrickBot)'은 2016년 처음 확인된 이후 맹위를 떨치고 있다. 기업과 정부기관은 트릭봇을 가장 위험한 악성코드로 분류하고 있다. 전문가들은 트릭봇이 현재까지 2억5천만건의 이메일 계정을 감염시킨 것으로 추정하고 있다. 트릭봇과 그 영향을 주의 깊게 살펴보고 있는 보안업체 딥인스팅트에 따르면 이 악성코드가 최근 더 진화했다. 대표적인 예가 트릭부스터(TrickBooster)다. 감염된 기기를 통해 다른 기기로의 악성코드를 빠르게 번식시키는 기능을 한다. 트릭봇은 금전갈취 악성코드의 일종이다. 예를 들자면 인사부서 앞으로 보내는 이력서 등을 가장해 확산한다. 마이크로소프트 워드나 엑셀에서 파일을 여는 동시에 악성코드를 퍼트려 기기를 감염시킨다. 감염 통로는 다양하지만, 전형적인 예가 마이크로소프트 윈도우에서 사용되는 SMB(Server Message Block)...

KISA

인터넷 진흥원, MS RDP 취약점 보안 강화 촉구

한국인터넷진흥원은 마이크로소프트(MS) 윈도우 제품 원격 접속·관리 기능(Remote Desktop Protocol, RDP)을 통해 악성코드를 설치 및 실행 할 수 있는 취약점이 발견되어 영향을 받는 제품 사용자의 긴급 보안 업데이트 적용 등 보안 강화를 당부했다. 이번 취약점은 사용자 조작 없이도 자가 전파해 감염을 유발시키는 웜 형태의 악성코드와 통합이 가능하여 사용자에게 심각한 피해를 줄 수 있는것으로 알려졌다. 지난 2017년 세계적으로 큰 피해가 발생했던 워너크라이(WannaCry) 랜섬웨어와 유사한 방식으로 취약한 PC에 악성코드 전파가 가능하다. 영향을 받는 제품은 윈도우 XP, 7, 윈도우 서버 2003, 2008이 해당된다. MS는 취약점을 개선한 보안 업데이트를 배포하고 있으며, 해당 윈도우 제품 사용자들은 MS 홈페이지 또는 윈도우 업데이트 기능을 통해 보안 업데이트를 진행해야...