오늘은 요즈음 뉴스 틀며 나오는 나토(NATO-OTAN) 북대서양 조약 기구를 공식 문서인 것처럼 사용자 컴퓨터를 공격하는 매크로 악성코드인 New measures for medical assistance from NATO Trust Fund.doc(2022.09.21) 에 대해 글을 적어 보겠습니다. 해당 제목을 굳이 구글 번역기로 돌려서 번역을 해보면 NATO 신탁 기금의 의료 지원을 위한 새로운 조치 같은 제목으로 된 것을 확인할 수가 있으며 내용은 다음과 같이 시작을 합니다. We agreed that the consequences of the war are catastrophic. In particular, the number of people with disabilities (including..
오늘은 스마트폰 최적화 앱을 위장하는 악성코드인 EasyCleaner 에 대해 글을 적어보겠습니다. 일단 기본적으로 삼성 스마트폰 같은 것은 경우에는 디바이스 케어 라는 기능이 있어서 쉽게 사용을 할 수가 있습니다. 그런데 여기서 조금 더 기능이 많은 스마트폰 최적화 앱을 원하시는 분들은 별도로 해당 앱을 구글 플레이 스토어 에서 설치해서 사용하고 있습니다. 그런데 문제는 일부 앱 들은 악성코드를 포함하고 있습니다. 오늘은 그중에 하나인 EasyCleaner 에 대해 글을 적어 보겠습니다. 일단 구글 플레이 스토어 에서 유포된 주소는 다음과 같습니다. https://play.google(.)com/store/apps/details?id=com.easy.clean.ipz&ref=apkcombo.com 물론..
오늘은 구글 MFA 인증 코드 훔치는 안드로이드 악성코드인 에스코바 악성코드 분석을 한번 해 보는 시간을 가져 보겠습니다. 일단 2022년 2월 러시아 어를 사용하는 해킹 포럼에서 Aberebot 개발자가 새 버전을 홍보한 포럼 게시물인 Escobar Bot Android Banking Trojan을 발견했으며 베타 버전이지만 3천 달러에 금액에 판매를 되고 있으며 공격자는 3일간 봇을 무료로 테스트 가능하며 미국 보안 업체인 맥아피로 위장하고 있으며 안티바이러스 엔진 대다수를 회피했다고 경고를 하고 있습니다. 에스코바(Escobar)Escobar는 전자 뱅킹 앱과 웹 사이트와의 사용자 상호 작용에 인터셉트해 피해자의 크리덴셜을 훔칠 목적으로 오버레이 로그인 양식을 표시하며 은행 및 금융 기관을 18개국..
오늘은 윈도우 도움말 파일(.chm) 형식의 악성코드가 국내 사용자를 대상으로 유포되고 있습니다. 일단 해당 악성코드는 자료.zip로 구성이 돼 있고 그리고 압축파일 안에는 자료 보시고 회신 부탁합니다.최신자료(안내자).rar로 돼 있으면 해당 압축을 풀었을 때 도움말이 나오는 것을 확인할 수가 있으면 해당 해쉬값은 다음과 같습니다. 파일명:Guide.chm 사이즈:62.2 KB CRC32:590ec4b3 MD5:3ae6503e836b295955a828a76ce2efa7 SHA-1:d08315c8c93aca7816875c11583b1147878ab8ac SHA-256:8672acfb06258f5b6dec3700cd7f91a0c013a70a9664dbc6cf33a4c6406756ed chm 파일은 컴파일된..
오늘은 안드로이드 스마트폰 공장 초기화 및 개인정보 탈취 악성코드인 BRATA(브레타)에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 지금 계속 변종이 나오는 악성코드이면 일단 기본적으로 안드로이드 스마트폰에 설치된 보안 프로그램 즉 백신 입을 삭제를 시도하는 기능도 포함된 악성코드입니다. 해당 악성코드의 특징은 다음과 같습니다. 스마트폰 공장 초기화: 승인되지 않은 전신 송금 즉 돈을 탈취하고 추적을 지우려고 해당 기능 이용하는 것으로 추정 GPS 추적 기능 다중 통신 채널 HTTP 및 TCP 지속적인 연결을 유지하기 위해 장치와 C2 서버 사용 해자의 은행 애플리케이션을 지속적으로 모니터링하는 기능 VNC 및 키로깅 새로운 BRATA 변종은 작년 2021년12월에 유포되기 시작 백신 입에서 서 ..
오늘은 북한에서 만든 것으로 추정되는 가상화폐 훔치는 악성코드-DropPang.apk(드롭팡) 에 대해 간단하게 알아보는 시간을 가져 보겠습니다. 일단 유튜브에서 뉴스를 보니까 가상화폐를 탈취하는 악성코드 유포한다고 하기에 해당 악성코드 샘플을 구해서 한번 간단하게 분석을 하는 시간을 가져 보겠습니다. 최근 북한은 대북제재로 외화벌이가 막힌 북한이 해커부대를 동원해 가상화폐를 탈취를 다른 국가들을 상대로 공격해서 가상화폐를 훔치고 그리고 그것을 외화벌이 수단으로 사용하고 있습니다. 일단 북한에서 해커 조직이라고 하면 김수키(Kimsuky=탈륨(Thallium),라자루스(Lazarus)가 있습니다. APT 조직이 지난 2017년 시스코 탈로스를 통해 알려진 코니 조직과 같은 C2 인프라 이용을 해서 가상 ..
오늘은 몸캠을 통해서 개인정보를 탈취 하는 몸캠피싱인 하윤.APK 간단 분석을 해보겠습니다.일단 유포 방식은 다음과 같이 압축파일에 첨부해서 악성코드가 유포가 되면 해당 악성코드를 설치를 하고 실행을 하는 순간 개인정보가 털리는 방식을 가지고 있습니다. 정은.rar->하윤.apk 앱 제목은 영상 입니다.그리고 왠 젊은 여성 분 께서 바니? 로 포즈를 취하고 있는 아이콘 이고 아마도 이렇게 해서 낚기 위한 걸로 판단이 됩니다. 악성코드 해시값 MD5:75a396f1a2b017f221276a85a2f83594 SHA-1:93041375ea9556b1849bd314345cc88e63cad24c SHA-256:bc914db2229cd5faea39a6e68c2dd421258a74f6d7652fffe785f7f07..