오늘은 워드 문서 매크로를 통해서 유포되는 LockBit 3.0 랜섬웨어(롯빗 랜섬웨어)에 대해 글을 적어 보겠습니다. 일단 유포되는 해당 랜섬웨어 인 LockBit 3.0 랜섬웨어(롯빗 랜섬웨어)은 다음과 같습니다. 임규민.docx(baafd4f1903f80a473facbf3889ee98823fa560c3eecf3fb232e67c78b0c3a80) 임서은.docx(1f0617725b2a0b0c3bb1067f0b77da049da0545710d9743813969b3bbcc563f4) 전채린.docx 또는 신준성.zip(f019495a1d4feecc07769dc1fbecccb871634cc707c43befe1ea7aa2c629e337) 제가 사용을 한 샘플은 임서은.docx 입니다. 먼저 해당 악성코드의 해..
오늘은 북한 해킹 단체 Konni(코니) 즉 김수키(Kimsuky)와 연관된 북한 해킹 그룹 이며 Konni는 2014년 초부터 발견되었고 Konni 은 2012년부터 활동한 북한의 사이버 스파이 그룹인 APT37 과 잠재적으로 연결되어 있으며 해킹의 목표가 되는 희생자는 한국(남한)의 정치인, 북한 관련 종사자 또는 대북 관련 업무 맡는 분 및 일본, 베트남, 러시아, 네팔, 중국, 인도, 루마니아, 쿠웨이트 및 기타 중동 지역을 타켓으로 하고 있으며 이번 악성코드는 워드에 매크로로 작동하는 악성코드이며 제목은 카뱅과 손잡은 코인원_비트 독주 체제 무너뜨릴까? 라는 제목으로 돼 있으며 기본적으로 한국의 경제 주간지 이코노미스 에서 발간하는 경제 주간지 이코노미스트의 2022.09.03 07:05 에 작..
오늘은 구글 크롬 공식 스토어 에서 구글 크롬 탐색 활동을 훔치는 악성코드 구글 크롬 부가기능에 인 Netflix Party(넷플릭스 파티)에 대해 알아보겠습니다. 해당 유포되었던 구글 크롬 부가기능 주소는 다음과 같습니다. https://chrome.google(.)com/webstore/detail/netflix-party/bncibciebfeopcomdaknelhcohiidaoe 해당 구글 크롬 부가기능은 사용자를 피싱 사이트로 리디렉션 하고, 제휴 ID를 삽입하고, 합법적인 웹사이트를 수정하여 개인 식별 정보(PII) 데이터를 추출하는 악의적인 과정을 거치고 있습니다. 해당 악성코드는 구글 확장 프로그램 중 하나인 Netflix Party 는 원래 Netflix Party 확장 프로그램을 모방하여..
오늘은 몸캠 악성코드인 동영상 악성코드에 대해 글을 적어 보겠습니다. 몸캠 이라는 것은 영어로는 sextortion로 부르고 있으며 피해자로부터 성적 호기심 등을 이용해서 몰래 녹화, 녹음을 통해서 금전 및 가상화폐 등을 요구하는 범죄입니다. 보통 몸캠 하자고 유혹하여 해킹 어플을 설치하게 하거나 해킹 링크로의 접속을 유도하고 상대방에게 노출 사진을 찍게 하게 하고 이것을 스마트폰에 저장된 연락처에 퍼뜨리겠다는 협박을 통해 돈을 뜯어내는 사기 방법입니다. 스마트폰 일단 랜덤채팅앱을 설치돼 있으며 갑자기 모르는 여자로부터 묻지도 따지지도 않고 스카이프, 라인, 카카오톡 등 영상통화가 가능하고 PC와 스마트폰 간에 연동할 수 있는 앱으로 대화를 이어나가자고 하면 몸캠 피싱일 가능성이 거의 99.9%에 가깝고..
오늘은 해당 악성코드는 최근 한국의 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 것을 확인했습니다. 일단 이메일 파일이 전송되면 이메일 안에는 파일명이 사내 금융업무 상세내역.docx으로 돼 있는 악성코드가 포함돼 있습니다. 해당 악성 워드 문서를 실행하면 백그라운드 에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 내려받아 실행합니다. http://ms-work.com-info(.)store/dms/0203.dotm 이며 해당 파일 해쉬값은 다음과 같습니다. 파일명:사내 금융업무 상세 내역.doc 사이즈:106 KB CRC32:8771aa41 MD5:f5a18dc727c19624bcd47f03c0713b4b SHA-1:ed4cc1680d22de..
오늘은 브라우저에 등록된 비밀번호 및 디스코드, 가상화폐 비밀번호를 훔치는 악성코드인 pegasus.py 에 대해 알아보겠습니다. 먼저 해당 악성코드 해쉬값은 다음과 같습니다. 파일명:pegasus.py 사이즈:20.5 KB CRC32:6ecc20fd MD5:e217aa8071fbe266e2946f9220a32429 SHA-1:1183e862bfe50a0782d1a66d4986bf2a945c7e2c SHA-256:2fbdd7403b180c48441bc6539fd0fa244a888b45d69e3287262756672464c329 SHA-512:10ecfb662600a012756405b717af7879100c769fe2a076034d11e280b61f27a1f65bb6f1bd438566900ad401295e..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
오늘은 안드로이드 스마트폰 클리너로 위장하는 SharkBot 뱅킹 악성코드인 Mister Phone Cleaner.apk(2022.09.06)에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 구글 플레이 스토어 에서 다음 주소로 유포되었으며 지금은 해당 APK 파일은 구글에서 삭제한 상태입니다. https://play.google(.)com/store/apps/details?id=com.mbkristine8.cleanmaster SharkBot 뱅킹 악성코드는 크리덴셜 과 은행 정보를 훔치는 작업을 하는 악성코드입니다. 먼저 해당 악성코드의 안드로이드 권한은 다음과 같습니다. 이며 특정 앱 종료를 위한 권한, 블루투스 권한, 외장 디스크 읽고 쓰기 권한, 앱이 계정의 동기화 설정을 수정, 와이파이 권..
몸캠 이라는 것은 영어로는 sextortion로 부르고 있으며 피해자로부터 성적 호기심 등을 이용해서 몰래 녹화, 녹음을 통해서 금전 및 가상화폐 등을 요구하는 범죄입니다. 보통 몸캠 하자고 유혹하여 해킹 어플을 설치하게 하거나 해킹 링크로의 접속을 유도하고 상대방에게 노출 사진을 찍게 하게 하고 이것을 스마트폰에 저장된 연락처에 퍼뜨리겠다는 협박을 통해 돈을 뜯어내는 사기 방법을 사용하고 있으며 스카이프 등 스마트폰 채팅 어플을 통해 음란 화상 채팅(몸캠피싱)을 하자고 접근하여 피해자의 음란한 행위를 녹화하고 피해자의 스마트폰에 악성코드를 심어 피해자 지인의 연락처를 탈취한 다음 지인들에게 녹화해둔 영상(사진)을 유포하겠다고 협박하여 금전을 갈취하는 범죄라고 보시면 됩니다. 악성코드 유포 사이트 htt..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group) 하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 Drop..
마이크로소프트에서 제공하는 백신 프로그램(안티 바이러스) 프로그램인 마이크로소프트 디펜더(Microsoft Defender), 구 명칭 윈도우 디펜더(Windows Defender)에서 윈도우 에서 프로그램을 실행 할떄 마다 구글 크롬, Microsoft Edge(마이크로소프트 에지), Discord(디스코드),Electron(일렉트론) 프로그램을 Win32/Hive.ZY 로 오진을 하고 있습니다. 해당 업데이트는 일요일 아침에 시작 서명 업데이트 1.373.1508.0 업데이트에서 문제가 터지고 있으며 해당 Win32/Hive.ZY 오진은 의심스러운 동작에 대한 이 일반 탐지는 잠재적인 악성 파일을 포착하도록 설계돼 있으며 파일을 내려받았거나 이메일을 통해 받았으면 파일을 열기 전에 신뢰할 수 있는 출..
오늘은 구글 크롬 공식 스토어 에서 구글 크롬 탐색 활동을 훔치는 악성코드 구글 크롬 부가기능에 인 Netflix Party에 대해 알아보겠습니다. 해당 유포되었던 구글 크롬 부가기능 주소는 다음과 같습니다. https://chrome.google(.)com/webstore/detail/netflix-party/mmnbenehknklpbendgmgngeaignppnbe?hl=ko 현재 폭발이 되었음 해당 악성코드는 넷플릭스 비디오 열기 친구와 파티 링크 공유 가입, 프로필 및 채팅을 사용하여 이름과 아바타를 변경하여 친구들과 항상 채팅할 수 있습니다. 해당 악성코드는 의도한 기능을 제공하는 것 외에도 확장 프로그램은 사용자의 탐색 활동도 추적을 하며 방문한 모든 웹사이트는 확장 프로그램 작성자가 소유한 ..
오늘은 북한 해커 단체인 김수키(Kimsuky)가 러시아 외부무를 공격을 하기 위한 만든 악성코드인 _Pyongyang in talks with Moscow on access to Donbass에 대해 알아보겠습니다. 해당 악성코드는 북한 김수키(Kimsuky)에 의해서 제작이 된 악성코드로 심양 러시아 총영사관 계정을 사용하여 일본 러시아 총영사관에 추가 공격을 하려고 제작된 악성코드로 추측되면 해당 악성코드는 Donbass.zip 로 파일로 압축이 되어져 있으며 압축 파일에서는 2개의 파일이 존재하고 있습니다. _Pyongyang in talks with Moscow on access to Donbass.pptx Donbass.ppam PPTX 파일은 Microsoft PowerPoint Open X..
오늘은 한미 연합 훈련 킬 체인 웨비나 일정으로 위장한 악성코드인 1. doc에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 만들어진 악성코드로 일단 해당 악성코드는 이메일을 통해서 전파가 되어 있으며 국내 특정 기관으로 속여서 조언을 요청하기 위해서 이메일을 전송하면 해당 악성코드의 특징은 예전 방식은 그냥 무작위로 이메일을 악성코드를 포함해서 이메일 보냈다고 하면 이제는 메일에 직접 워드 문서를 첨부하지 않고 공격 대상이 되는 대상이 나 답장받고 싶어요. 하고 답장을 보면 답장 이메일에 악성코드가 포함된 워드 문서를 주소를 보내 주고 해당 문서를 내려받길 실행을 하면 악성코드가 감염되는 방식을 취하고 있습니다. ..
오늘은 악성코드 VBA 매크로 비밀번호 푸는 방법에 대해 글을 적어 보겠습니다. 해당 글에 관심 있으신 분들은 2가지 분류가 아닐까 생각이 됩니다. 첫 번째는 VBA 에 암호를 걸어 놓았는데 잊어버려서 아니면 악성코드 분석하는데 악성코드 제작자가 VBA 에다가 암호를 걸어 놓아서 분석을 방해하기 위해서 이걸 해제하기 위해서 일 것입니다. VBA 이라는 것은 Visual Basic for Applications의 약자로 Microsoft Office(마이크로소프트 오피스)에 내장된 프로그래밍 언어이며 주 용도는 매크로를 돌리고 사용자 정의 함수를 사용하는 것으로 컴퓨터활용능력 1급을 시험을 보시는 분들에게는 반드시 알아야 한다고 알고 있습니다. 물론 손재주가 좋으신 분들은 긍정적으로 게임을 만드는 것을 시..
오늘은 북한 해커 조직인 Kimsuky(킴수키) 또는 김수키 라고 하는 북한 해커 집단에서 라자루스(Lazarus Group)하고 자매 정도 포지션 이라고 할 수가 있으며 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려졌으며 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌고 서울에 있는 모 대학 병원의 환자 정보를 탈취하기도 했으며 한국원자력연구원, 원전반대그룹을 자처하며 한국수력원자력의 대외비 자료를 공개 등으로 말미암아서 한때 비상근무를 쓰기도 했던 해킹 그룹으로 주목받고 있으면 지난 제 블로그에서도 글을 적었지만, 북한 해킹 조직 김수키 에서 만든 악성코드 KISA Mobile Security, 그리고 가상화폐 훔치려고 만든 악성코드인 DropP..
오늘은 구글 플레이 스토어 에서 QR 코드 스캐너로 위장해서 악성코드를 유포하는 QRScanner에 대해 글을 적어 보겠습니다. QR 코드라는 것은 2차원 매트릭스 형태로 이루어진 정보 표시 방법이며 QR는 Quick Response의 약자이고 1994년 일본의 덴소 웨이브(デンソーウェーブ) 에서 처음으로 개발하고 보급을 하고 있습니다. 한국에서는 아마도 작년 코로나 19 상황에서 QR 코드 전자출입명부를 만들어서 사용했을 것입니다. 일단 해당 악성코드인 QRScanner 은 QR 코드를 스캔하지만 여기서 악성코드 동작도 하고 있습니다. 일단 구글 플레이 스토어 에 표시된 앱 내용은 다음과 같습니다. https://play.google(.)com/store/apps/details?id=com.scanne..
오늘은 로그라이크 던전 데빌 슬레이어 락사시(Devil Slayer-Raksasi) 이라는 게임을 무설치 한글 최신 버전이라는 식으로 웹하드 에 유포가 되고 있으며 그리고 토렌트 등에서도 유포되고 있을 가능성도 큽니다. 제목은 로그라이트 던전 크롤러 데빌 슬레이어 락사시 로 유포가 되고 있으면 압축 파일을 풀고 나서 raksasi.exe 를 실행을 하면 악성코드는 동작하는 형태입니다. 해당 악성코드의 최종 목적은 XMRig 즉 모네로 코인 마이너 작업을 통한 모네로 코인 이라는 가상화폐 채굴에 목적이 있으며 해당 유포되었던 웹 하드에서는 댓글로 백신 프로그램에서 악성코드를 탐지하고 있다고 댓글을 써 놓기도 했습니다. 물론 해당 악성코드를 업로드 한 사람인지 아니며 단순히 파일을 다운로드 해서 이차적으로 ..
오늘은 구글 플레이 스토어 에서 유포를 했으면 다운로드 는 약 5000 정도 이루어졌고 현재는 구글 플레이 스토어 에서는 폐쇄되었지만, 여전히 APK 등을 공식 구글 플레이 스토어 가 아닌 APK 파일을 다운로드 할 수가 있는 사이트들에서는 유포되고 있습니다. 바닐라 카메라(Vanilla Camera ) 놀라운 필터로 놀라운 셀카를 찍을 수 있는 모든 기능을 갖춘 전문 카메라입니다! (is a full-featured professional camera for taking incredible selfies with amazing filters! ) 카메라 기능:(Camera Features:) 다양한 스타일의 전문적인 효과(Professional effects in different styles) 세련된..
오늘은 구글 플레이 스토어 에서 유포되었던 Autolycos 악성코드인 Freeglow Camera에 대해서 글을 적어 보겠습니다. 일단 해당 악성코드는 5,000 다운로드 를 기록을 했고 해당 악성코드에 많은 사람이 감염되었다는 것을 확인할 수가 있습니다. Autolycos는 원격 브라우저에서 URL을 실행한 다음 Webview를 사용하는 대신 HTTP 요청에 결과를 포함하는 등 은밀한 악성 행위를 수행하는 악성 코드이며 즉 동작은 해당 동작을 덜 눈에 띄게 하여 손상된 장치의 사용자가 감지하지 못하도록 하기 위한 목적입니다. 악성코드들은 스마트폰에 설치 시 SMS(문자)를 읽을 수 있는 권한을 요청해서 앱이 피해자의 SMS 문자 메시지에 액세스 할 수 있도록 하고 있으며 새로운 사용자에게 앱을 홍보하..
오늘은 구글 플레이 스토어 에서 유포되고 있는 악성코드인 Advanced SMS(2022.07.12)에 대해 알아보겠습니다. 해당 악성코드는 조크(Joker)바이러스는 보통 컴퓨터를 파괴, 스마트폰 파괴를 목적으로 하는 것이 아니고 단순히 사용자를 겁주거나 하는 정도로 사용을 되는 악성코드입니다. 단 해당 진단명을 보면 트로이 목마로 진단하는 것을 보면 윈치 않는 프로그램을 설치하거나 하면 일단 잠재적인 위험 정도일 것입니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:Advanced SMS_1.0.1_sws.apk 사이즈:10.4 MB CRC32:59c29092 MD5:a4081f627eb9bb24d3945087ae6541a1 SHA-1:f0e24059eb56564ae090fb4d30de006c7..
오늘은 악성코드 감염 시 윈도우 복구 도구인 Windows Malware Effects Remediation Tool에 대해 글을 적어 보겠습니다. 해당 Windows Malware Effects Remediation Tool은 악성코드 공격이 성공하고 악성코드를 치료하고 난 후 악성코드 공격의 영향으로 운영 체제의 특정 기능 및 도구에 대한 실행 또는 접근이 제한될 수가 있습니다. 관리자가 기능을 복원할 수 있도록 지원하는 오픈 소스 프로그램이며 10개의 사용 가능한 수정사항을 포함하는 단일 창 인터페이스가 있습니다. 각 수정사항에는 수정사항을 적용하거나 실행을 할 수가 있습니다. 기본 컴퓨터 요구 사항은 다음과 같습니다. Windows 7, Windows 8.0, Windows 8.1, Windows..
오늘은 우크라이나 정부 기부 사이트 피싱 사이트인 euro24dopomoga0에 대해 알아보겠습니다.일단 2022년 2월에 러시아의 공격으로 부터 우크라이나 정부는 러시아 군 과 전투를 하고 있습니다.우크라이나는 지금 러시아군에 맞서서 서방 국가 들과 자유 와 평화를 수호하기 위해서 싸우고 있습니다.그리고 우크라이나 정부는 우크라이나가 암호화폐 거래소 FTX의 도움을 받아 러시아의 공격을 방어하는데 필요한 자금 마련을 위한 암호화폐 기부 사이트를 만들어서 러시아 로 부터 싸우고 있습니다. 우크라이나 에게 도움을(Aid for Ukraine) 이라는 이 계획은 FTX, 스테이킹 서비스 회사 에버스테이크 및 우크라이나의 합작품입니다. 해당 사이트는 FTX는 기부받은 암호화폐를 법정 통화로 환전해 우크라이나 ..
오늘은 안드로이드 스마트폰의 개인정보 탈취를 하려고 만들어진 악성코드인 gen_signed에 대해 글을 적어 보겠습니다. 일단 악성코드는 설치하면 live sexy이라는 이름으로 돼 있으며 일단 해당 어플을 실행을 하면 성인 어플이라는것을 볼 수가 있으면 그리고 해당 성인을 위한 영상들을 보려고 하면 기본적으로 신용카드 번호, 신용카드 CVV 정보, 이메일 주소 이메일 주소는 OTP를 수신 및 악성코드를 입력하기 위해서 준비돼 있습니다. 즉 탈취를 시도하는 개인 정보의 종류는 금융이나 암호화폐와 관련된 정보가 주 타켓 입니다. 일단 이란 리알 을 사용을 하는 것으로 보면 이란에 있는 사람을 목표로 삼는 것으로 추측할 수가 있습니다. 그리고 요구 금액은 2,000리알 구글에서 환율 계산을 하면 61.80원..
오늘은 해외 선물 투자 ETF 로 위장하는 악성코드 사이트에 대해 글을 적어 보겠습니다. 일단 개인적으로 노트북이 성능이 안 좋아서 버추얼 박스 및 VM웨어 에서 가상환경을 실행 및 분석을 진행하지 못했습니다. 일단 해당 악성코드 유포 사이트는 해외 선물 투자ETF 위장을 하고 있으면 구글로 검색을 해보니 플러스자산운용(주)을 피싱 사이트로 추정이 됩니다. 일단 해당 사이트에서는 성공투자의 시작 증권사 연동을 통한 신속하고 정확한 체결과 지속적인 프로그램 관리로 안정적인 투자환경을 제공합니다. 트레이딩 다운받기 라는 부분을 통해서 악성코드인 ETF_SETUP.exe를 다운로드 하면 해당 악성코드 다운로드 주소는 다음과 같습니다. https://plusasset(.)net/install/ETF_SETUP...
최근 전화금융사기 조직들은 유명 은행으로 속인 피싱 사이트를 만들고 피싱 사이트에서 앱을 다운로드 해서 설치를 유도해 고객의 돈을 훔치는 행동을 하고 있습니다. 그리고 물론 해당 악성코드를 설치하면 당연히 진짜 고객센터로 연결되지 않고 경찰서, 검찰청으로 신고해도 보이스피싱 조직에 전화가 걸리게 구조가 돼 있습니다. 오늘은 이런 보이스피싱범 들이 만든 악성코드인 신한은행.apk에 대해 글을 적어 보겠습니다. 일단 기본적으로 악성코드는 다음과 같은 사이트로 유도하고 있습니다. 해당 악성코드를 실행하면 앞서 이야기한 것처럼 기본 전화 앱을 신한은행 사칭하는 악성코드로 변경하게 강요를 하면 해당 방법을 통해서 보이스피싱범과 통화하게 연결하기 위한 장치입니다. 일단 해쉬값은 다음과 같습니다. 파일명:sinhan..
오늘은 VPN 앱 으로 위장하는 악성코드인 SecureVPN_108.apk에 대해 글을 적어 보겠습니다. VPN이라는 것은 자신의 국가에서 다른 서비스를 이용하고 싶거나 아니면 넷플릭스 같은 곳에서 다른 국가에서 서비스되고 있는 넷플릭스 서비스 등을 이용하고 싶으면 이런 VPN 서비스를 이용합니다. 그런데 이런 VPN 서비스도 인지도가 있는 서비스를 이용해야지 문제가 되지 않지만, 무료 VPN 들은 개인정보를 가져가는 데 이용이 됩니다. 오늘은 이런 VPN 서비스를 제공하는 척하면서 개인정보를 가져가는 악성코드에 대해 글을 적어 보겠습니다. 먼저 해당 악성코드의 해쉬값은 다음과 같습니다. 파일명:SecureVPN_108.apk 사이즈:31.5 MB CRC32:ed8f5960 MD5:a45ec8749eac..
코로나 19 상황으로 사람들이 고통을 받고 있습니다. 해당 악성코드는 정부 지원금을 주겠다고 하고 있으며 보이스피싱 악성코드인 kakaobank.apk(2022.2.14)에 대해 알아보겠습니다. 일단 해당 악성코드는 http://tokenpocketo(.)com/ 으로 유포가 되고 있으며 http://tokenpocketo(.)com/kakaobank(.)apk 으로 해서 악성코드가 다운로드 되어서 사용자가 다운로드 해서 설치를 하고 실행을 하면 실행이 됩니다. 웹 소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다. 그리고 악성코드 해시값은 다음과 같습니다. 파일명:kakaobank.apk 사이즈:17.0 MB CRC32:eb85d089 MD5:7d3890f4a96d4c6937a5d0e6c39..
오늘은 구글 플레이 스토어에서 유포되는 안드로이드 악성코드인 All in Scanner.apk에 대해 글을 적어 보겠습니다. 일단 해당 악성코드는 구글 플레이 스토어에서 유포를 했으면 지금은 삭제 처리가 된 악성코드입니다. 일단 해당 악성코드는 OCR로 위장하고 있으며 해당 악성코드를 실행하면 정상적으로 입이 실행되는 것을 볼 수가 있습니다. 먼저 악성코드 해쉬값은 다음과 같습니다. 파일명:All in Scanner.apk 사이즈:30.3 MB CRC32:a9b096ae MD5:0140fd83f0b12425f68b50649345c2c3 SHA-1:aee19b2a4d002759a2d4aff3dc2be9705e65de07 SHA-256:4ee238ad70564d95a8bf12e71a0a031966ee4893..
오늘은 러시아 연계 APT 그룹 Turla 제작 추정 안드로이드 악성코드인 Process Manager.apk에 대해 글을 적어 보겠습니다. 일단 제목처럼 추정으로 한 이유는 러시아 쪽으로 연결되어서 이렇게 글을 적어 봅니다. 해당 악성코드는 Roz Dhan: Earn Wallet cash 이름으로 구글 플레이 스토어 있었고 많은 사용자가 다운로드 한 악성코드 중 하나입니다. 먼저 해시값은 다음과 같습니다. 파일명:Process Manager.apk 사이즈:377 KB CRC32:afe09139 MD5:4f5617ec4668e3406f9bd82dfcf6df6b SHA-1:45eed0d3f6dc143bcfa19f593523ee07683ca66d SHA-256:e0eacd72afe39de3b327a164f9..