Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있습니다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있습니다.

’11월 15일에는 장윤성 입사지원서를 위장’해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, ’19일에는 박예윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크’로 유포했습니다.

[그림 1] 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면

MS Word 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범죄자들은 ‘베리즈 웹쉐어(Berryz WebShare)’ 서버를 구축해 한동안 변종 갠드크랩 랜섬웨어를 꾸준히 유포하는데 사용하였습니다.

ESRC는 이들 조직이 한국과 동일한 시간대에서 활동하며, 갠드크랩 변종 랜섬웨어를 유포서버에 등록하는 것을 확인하였습니다.

특히, 국내 대표 보안제품들이 탐지 기능을 추가하면 곧바로 변종을 제작해 등록하는 적극적인 공격전략을 구사하고 있습니다.

[그림 2] 공격자가 베리즈 웹쉐어 서버에 각종 악성파일을 등록해 둔 화면

이른바 비너스락커 위협 조직은 2016년 12월 23일 ‘한국’ 키워드가 포함된 다수의 국내 기관 및 연구원 등에 연말정산 내용으로 위장해 랜섬웨어를 본격적으로 유포를 시작한 바 있습니다.

그 이후에는 ‘차량 법규 위반 과태료 통지서’, ‘페덱스 배송팀 사칭’, ‘쇼핑몰 고객 개인정보 리스트’, ‘교육 일정표 위장’, ‘이미지 저작권 위반’ 등 다양한 형태로 한국을 상대로 오랜 기간 사이버 위협을 가하고 있습니다.

그리고 비너스락커 랜섬웨어 유포 이후에 오토크립터 랜섬웨어를 유포한 바도 있고, 암호화폐 채굴기능을 가진 악성코드를 유포한 이력도 가지고 있습니다.

특히, DOC Exploit 취약점 파일을 이용한 공격도 수행한 바 있어 전문화된 위협조직으로 분류되어 있고, 유창한 한국어를 자유자재로 구사하고 있는 상태입니다.

ESRC는 이들이 현재 한국을 대상으로 가장 활발히 움직이는 랜섬웨어 위협그룹 중 하나로 보고 있습니다.

11월 20일 오전부터는 이력서 사칭에서 이미지 무단사용 관련 협박내용을 추가했고, 다시 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포하였습니다.

그러다가 오후부터는 ‘임금체불관련 출석요구서’ 내용으로 바로가기(LNK) 파일과 숨김속성의 갠드크랩 실행파일(EXE) 연결 방식으로 다시 유포를 하기 시작했습니다.

[그림 3] 바로가기(LNK) 파일을 통해 숨김속성의 갠드크랩 랜섬웨어를 실행 유도하는 화면

ESRC에서는 알약(ALYac) 랜섬웨어 행위기반 차단 탐지 통계를 통해 공격자가 계속해서 변종을 한국에 유포하고 있다는 것을 확인했습니다.

또한, 파일명도 ‘peesss.exe’, ‘delltoro.exe’, ‘document.exe’ 등으로 다양하게 변경해서 유포하고 있습니다.

이러한 공격기법은 비너스락커 조직이 초기부터 꾸준히 사용하는 방식으로 ‘1.출석요구서.doc.lnk’, ‘2.임금체불 진정서.doc.lnk’ 2중 확장자의 바로가기 파일을 통해 은밀히 숨겨져 있는 랜섬웨어를 실행하는 기법입니다.

특히, 공격자들이 알집(ALZip) EGG 포맷을 자주 사용하고 있어, 이러한 기법을 사용할 경우 사전에 위협을 탐지할 수 있는 기능을 알집 압축프로그램에 추가한 상태입니다.

[그림 4] 랜섬웨어 위협 탐지 후 보여지는 알집 프로그램 경고 화면

이처럼 비너스락커 조직은 한국을 상대로 2년 가깝게 랜섬웨어를 집중적으로 유포하고 있는 상태이고, 주로 이메일의 첨부파일이나 링크 클릭을 유도하고 있습니다.

그동안 보고된 실제 공격 사례들을 기억해 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 의심스러운 이메일을 수신할 경우 절대 파일이나 인터넷 주소로 접근하지 않는 것이 중요합니다.

ESRC에서는 이들 위협 조직에 대한 지속적인 보안 모니터링과 위협 인텔리전스 연구를 통해 인터넷 이용자들의 피해를 최소화하는데 집중하고 있습니다.

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

미국 추수감사절(Thanksgiving Day) 내용으로
악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다
.

 

※ 관련글 보기

 

▶ 임금체불 관련
출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의

▶ 해외 배송장으로
위장한 국내 포털 피싱 메일 주의
!!

▶ 매크로를 이용한
송장 관련 악성 메일 유포 주의

[업데이트][주의] 견적서를
위장한 악성메일 지속적으로 유포중
! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트
파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을
사칭한 악성 메일 유포 주의

 

이번에 발견된 악성 메일은 ‘Thanksgiving
Greeting Card
’라는 제목으로 메일 본문에는 ‘Happy Thanksgiving
wishes to you!’
라는 내용으로 첨부된 파일의 실행을 유도합니다.

[그림 1] 수신된 메일

 

만약 이용자가 첨부 파일 ‘Thanksgiving-Day-wishes.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다 

[그림 2] 매크로 실행을 유도하는 DOC 파일

 

이용자가 자세한 정보를 열람하기 위해 매크로를 실행할 경우난독화된 스크립트를 이용해 cmd.exe 프로세스를 실행 후 악성 코드에 감염 됩니다.

[그림 3] 난독화된 스크립트

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을
삼가하시고
, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기
바랍니다
.

 

현재 알약에서는 관련 샘플을 ‘Trojan.Downloader.DOC.gen‘ 으로 진단하고 있습니다.

 

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

2018년 11월 15일부터 입사지원서를 사칭한 악성 이메일을 통해 한국의 불특정 다수의 이용자들에게 랜섬웨어가 급속 유포되고 있어 각별한 주의가 필요합니다.

추가 위협 분석자료는 이스트시큐리티 악성코드 위협대응 솔루션인 쓰렛 인사이드(Threat Inside) 서비스를 통해서도 확인해 보실 수 있습니다.

[그림 1] 비너스락커 랜섬웨어 유포 조직이 입사지원서를 사칭해 유포 중인 악성 이메일 화면

한국에 유포된 악성파일은 갠드크랩(GandCrab) 랜섬웨어 v5.0.4 변종이며, 마이크로소프트사 오피스 문서파일(.DOC)의 악성 매크로 기능을 통해 다량 전파되었습니다.

해당 위협그룹은 기존 비너스락커(VenusLocker) 랜섬웨어 조직으로 확인되었으며, 이들 조직은 과거 DOC 취약점을 이용해 랜섬웨어를 유포한 이력도 가지고 있습니다.

ESRC는 15일 오후부터 해당 랜섬웨어 국내에 급속 유포 중인 것을 자체 랜섬웨어 행위기반 차단통계 시스템과 ‘쓰렛 인사이드(Threat Inside)’ 정보 등을 활용해 분석했고, 신속하게 긴급 대응을 완료한 상태입니다.

특히, 악성파일은 한국인의 특정 개인정보가 포함된 워드 문서파일처럼 위장한 특징을 가지고 있으며, 워드파일 버전의 차이로 내용이 정상적으로 보여지지 않는 것처럼 조작한 후, [콘텐츠 사용] 버튼을 클릭하도록 유도하고 있습니다.

[그림 2] 개인정보를 담고 있는 악성 매크로 문서 화면

만약, [콘텐츠 사용]을 클릭할 경우 악성 매크로 코드가 작동하며, 특정 서버로 접속해 갠드크랩 랜섬웨어 변종을 설치하는 과정을 수행하게 됩니다.

해당 서버는 동적 DNS 주소로 구성되어 있으며, 명령 제어(C2)로 사용된 서버에서 변종 악성코드가 추가로 발견되었습니다.

[그림 3] 악성 DOC 문서와 EXE 갠드크랩 랜섬웨어가 등록된 서버 화면

한편, 변종 워드파일의 매크로 실행 유도용 이미지 화면에는 기존과 다른 형태가 발견되기도 했습니다.

하나는 [‘콘텐츠 사용’, ‘편집 사용’]이고, 다른 하나는 [‘콘텐츠 사용’]입니다. 이런 정황으로 보아 공격자가 직접 이미지 편집까지 수행한 것으로 판단됩니다.

[그림 4] 악성 DOC 워드 문서 변종 비교 화면

ESRC는 악성 DOC 문서를 분석한 결과, 공격자는 코드 페이지가 한국어(949) 기반인 상태에서 제작했고, 2018년 11월 15일 오전에 악성파일을 제작함과 동시에 한국에 다량 유포를 수행하고 있어 각별한 주의가 필요한 상태입니다.

[그림 5] 악성 DOC 파일의 메타 데이터 중 한국어 코드페이지 화면

악성 DOC 문서에는 VBA 매크로 코드가 포함되어 있으며, 내부 분석을 방해하기 위해 함수들이 대부분 난독화되어 있는 상태입니다.

매크로 코드가 작동하게 되면, 명령제어(C2) 서버로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종이 다운로드됩니다.

[그림 6] 난독화되어 있는 악성 매크로 VBA 코드 화면

최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화됩니다.

그리고 랜섬노트 ‘CRRILRPP-DECRYPT.txt’ 파일이 다수의 경로에 생성되어 집니다.

[그림 7] 갠드크랩 랜섬웨어 5.0.4 변종에 감염된 화면

‘CRRILRPP-DECRYPT.txt’ 랜섬노트 파일에는 다음과 같이 암호화된 파일들을 복호화하기 위한 설명이 포함되어 있습니다.

[그림 8] 갠드크랩 5.0.4 랜섬노트 화면

랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 다음과 같이 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 됩니다.

[그림 9] 갠드크랩 복구 비용 안내 토르 사이트 화면

갠드크랩 랜섬웨어는 한국에서 가장 활발하게 유포되고 있는 랜섬웨어 종류 중에 하나입니다. 따라서, DOC 등의 문서파일 실행시 [콘텐츠 사용] 보안 경고창이 나타날 경우 절대 실행하지 않아야 합니다.

ESRC에서는 기존 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 이번 공격에 가담한 것으로 확인했으며, 상세한 위협 인텔리전스 분석을 수행하고 있습니다.

이처럼 한국 맞춤형으로 랜섬웨어 공격이 끊임없이 발생하고 있다는 점에서 기업 및 기관의 이용자분들은 개인 보안(최신 업데이트 유지) 및 자료 보관(분리 백업)에 보다 철저한 노력이 절실한 상황입니다.

이스트시큐리티는 알약 제품군에 해당 악성파일에 대한 탐지 및 치료 기능을 긴급 업데이트해 배포하고 있는 상태이며, 랜섬웨어 행위기반 기술을 통해서도 사전대응을 유지하고 있습니다.

더불어 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 악성파일 유포 주소에 대한 조기 접근차단을 통해 피해 확산 방지에 최선을 다하고 있습니다.

ake Apps in Google Play Get over Half a Million Installs

제대로 된 기능이 없는 모바일 앱들 최소 12개 이상이 구글 플레이에 등록 되어 약 50만회 이상 다운로드 되었습니다. 이들은 비밀스럽게 다른 앱들을 설치하고 사용자를 속여 설치를 승인할 수 있었습니다.

이 앱의 최종 목적은 사용자가 기기의 잠금을 해제했을 때 원치 않는 광고를 표시하여 수익을 내는 것입니다.

실제 앱은 백그라운드에서 다운 돼

ESET의 악성코드 연구원인 Lukas Stefanko는 사기성 앱 13개를 발견했습니다. 이 앱들은 모두 Luis O Pinto라는 이름의 개발자가 등록했으며, 모두 동일한 행동을 보였습니다.

게임으로 위장한 이 앱들은 설치 된 직후 아이콘을 스크린에서 없앤 후, 백그라운드에서 하드코딩 된 주소로부터 또 다른 앱을 다운로드하기 시작합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/fake-apps-in-google-play-get-over-half-a-million-installs/>

새 패키지를 몰래 다운로드 하는 것은 가능하지만, 시스템에 추가하기 위해서는 사용자의 명시적 동의가 필요합니다. 처음 게임 앱을 설치했을 때 아이콘이 사라졌기 때문에, 사용자는 설치가 실패해 재시작했기 때문에 재 승인을 요구하는 것으로 착각할 수 있습니다.

Stefanko는 이 앱을 분석 도중, 다운로드 된 패키지의 이름이 Game Center인 것을 발견했습니다. 실행 될 경우 이는 기기의 잠금이 해제 되었을 때 광고를 표시합니다.

설치가 완료 되면, Game Center는 전체 네트워크 접근 권한, 전체 네트워크 연결 보기, 시작 시 실행 되는 권한을 요구합니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/fake-apps-in-google-play-get-over-half-a-million-installs/>

위장하려는 노력을 전혀 하지 않아

이 악성 앱들 13개는 구글 플레이에 침투하여 Game Center를 호스트에 푸시하기 위해 사용자의 설치를 기다리는 그저 빈 껍질일 뿐이었습니다.

이 앱은 위장을 위한 노력을 전혀 하지 않았습니다. 따라서 일부 사용자들은 이 앱이 사기라는 것을 눈치 채고 부정적인 안드로이드 리뷰를 작성했습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/fake-apps-in-google-play-get-over-half-a-million-installs/>

그럼에도 이 앱들의 총 설치 수는 56만회 이상을 기록했습니다.

Stefanko는 하드코딩 된 링크에서 더 이상 Game Center가 제공 되지 않는다고 밝혔습니다. 또한 모든 앱들은 구글에 제보 되어 안드로이드 앱 스토어에서 제거 된 상태입니다.

알약에서는 해당 악성앱들에 대하여 Trojan.Android.FakeApp로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/fake-apps-in-google-play-get-over-half-a-million-installs/

Linux CryptoMiners Are Now Using Rootkits to Stay Hidden

가상화폐의 인기가 상승함에 따라, 더 많은 크립토마이너 트로이목마가 제작 되어 배포 되고 있습니다. 하지만, 크립토마이너의 문제는 과도한 CPU 활용으로 인해 해당 프로세스의 탐지가 쉽다는 것입니다.

새로이 발견 된 리눅스용 변종은 루트킷은 모든 CPU를 활용하는 크립토마이너 프로세스의 탐지를 어렵게 하기 위해 그의 존재를 숨기려 시도합니다.

TrendMicro의 새로운 보고서에 따르면, 이 크립토마이너+루트킷 조합은 높은 CPU 활용으로 인해 여전히 성능 이슈를 일으킵니다. 하지만 관리자들은 어떤 프로세스가 이를 일으키는지 찾아낼 수 없게 됩니다.

“우리는 최근 리눅스 시스템에 영향을 미치는 가상 화폐 채굴 악성 코드(Coinminer.Linux.KORKERDS.AB로 탐지함)를 발견했습니다.”

“이는 모니터링 툴에서 악성 프로세스의 존재를 숨기는 루트킷 컴포넌트(Rootkit.Linux.KORKERDS.AA)와 함께 번들로 제공된다는 점이 인상적입니다. 이로써 감염 된 시스템은 성능 문제만을 표시하게 되어 탐지가 어렵게 됩니다. 이 악성코드는 자기자신과 설정파일을 업데이트 및 업그레이드하는 것도 가능합니다.”

어떤 소프트웨어가 이 마이너를 설치하는지는 아직까지 알려지지 않았지만, 연구원들은 비공식 또는 미디어 스트리밍 소프트웨어와 같은 해킹 된 플러그인일 것으로 의심하고 있습니다.

일단 설치 되면, 실행 파일이 다운로드 되며 마이너를 설치하고 이 마이너의 존재를 숨기는 루트킷을 설치하는 일련의 쉘 스크립트를 실행할 것입니다. 

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

TrendMicro가 탐지한 변종은 크립토마이너가 /tmp/kworkerds에서 설치 및 실행 됩니다. 루트킷이 설치 되지 않은 경우, kworkerds 프로세스가 100% CPU를 활용하고 있는 것을 확인할 수 있습니다.

윗부분에 해당 마이너 프로세스가 CPU의 100%를 활용하는 것을 볼 수 있습니다.

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

하지만 루트킷이 설치 되면, 시스템 전체 활용도는 100%로 나타나고 있는 상태에서도 해당 프로세스는 보이지 않습니다.

[루트킷이 마이너 프로세스를 숨긴 후]

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

위에서 확인할 수 있듯, 크립토마이너를 숨기기 위해 루트킷을 활용하는 방법은 탐지를 피하는데 매우 유용합니다. 하지만, 시스템 관리자나 컴퓨터의 지연 발생 원인을 파악할 수 없는 사용자들에게는 매우 끔찍한 일일 것입니다.

출처:

https://www.bleepingcomputer.com/news/security/linux-cryptominers-are-now-using-rootkits-to-stay-hidden/

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.



최근 계정 서비스가 보안상으로 잠겨서 로그인을 통해 신원정보 하라는 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 마지막 경고제목으로
전파되고 있으며
, 보안상의 이유로 사용자 계정 서비스를 처리 할 수 없고 포털 사이트의 모든 서비스가
일시 중지 된다고 사용자를 속입니다.

이후 신원정보를 위해 제작자가 만들어 둔 피싱 사이트에 로그인을 하도록 사용자들의 클릭을 유도 합니다.

[그림 1] 피싱 사이트가 포한 된 메일 본문

 

사용자가 로그인을 위해 클릭 하는 순간 국내 포탈 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 

사용자가 신원 정보를 확인하기 위해 해당 페이지에 계정 정보를 입력한다면입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림 3] 사용자 계정정보 전송 화면

 

개인정보를 수집하는 코드를 살펴보면사용자가 입력한 ID, Password를 수집하며 추가적으로 사용자의 IP주소를 수집하여 특정 메일로 전송 하는 것을 알 수 있다.

[그림 4] 사용자 계정정보 수집 코드

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 마이크로 소프트 핫메일(Hot Mail)도 추가적으로 발견되었습니다.

[그림 5] 마이크로소프트 핫메일 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고로그인 할 때에는 반드시 해당 URL을 확인하는 습관을 길러야 합니다

[그림 6] 바이러스토탈 피싱 사이트 탐지 화면

 

해당 피싱 사이트에 대한 더 자세한 정보는 Threat
Inside
에서 확인하실 수 있습니다.

[11월 셋째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다

 2

 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소:

 3

 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경

 4

 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오.

‘1234567890’, ‘gfhjkm’, ‘ghbdtn’, ‘billgates’, ‘gates’, ‘mustdie’, ‘windows’, ‘hotdog’, ‘prayer’, ‘stella’, ‘cassie’, ‘kitten’, ‘danielle’, ‘jasper’, ‘hallo’, ‘112233’, ‘saved’, ‘dexter’, ‘hardcore’, ‘angel1’, ‘55555’, ‘chelsea’, ‘qwert’, ‘prince’, ‘blabla’, ‘red123’, ‘baby’, ‘1q2w3e4r’, ‘john’, ‘jason’, ‘maxwell’, ‘sammy’, ‘fuckoff’, ‘scooby’, ’emmanuel’, ‘nathan’, ‘loving’, ‘football1’, ‘ilovegod’, ‘jordan23’, ‘cocacola’, ‘11111111’, ‘bubbles’, ‘222222’, ‘microsoft’, ‘none’, ‘destiny’, ‘friend’, ‘church’, ‘mylove’, ‘david’, ‘onelove’, ‘maverick’, ‘testtest’, ‘green’, ‘dallas’, ‘mike’, ‘samuel’, ‘zxcvbnm’, ‘praise’, ‘wisdom’, ‘slayer’, ‘rotimi’, ‘adidas’, ‘foobar’, ‘creative’, ‘qwerty1’, ‘knight’, ‘genesis’, ‘viper’, ‘1q2w3e’, ‘iloveyou!’, ‘benjamin’, ‘power’, ‘hockey’, ‘corvette’, ‘anthony’, ‘enter’, ‘bandit’, ‘spirit’, ‘thunder’, ‘digital’, ‘lucky’, ‘joseph’, ‘7777’, ‘smokey’, ‘harley’, ‘looking’, ‘nintendo’, ‘shalom’, ‘hope’, ‘friends’, ‘google’, ‘merlin’, ‘admin’, ‘sparky’, ‘austin’, ‘passw0rd’, ‘chris’, ‘junior’, ‘chicken’, ‘123abc’, ‘online’, ‘trinity’, ‘maggie’, ‘winner’, ‘george’, ‘startrek’, ‘123321’, ‘123qwe’, ‘london’, ‘victory’, ‘asdfasdf’, ‘james’, ‘banana’, ‘scooter’, ‘flower’, ‘cool’, ‘peaches’, ‘blink182’, ‘richard’, ‘john316’, ‘forum’, ‘taylor’, ‘diamond’, ‘compaq’, ‘samantha’, ‘dakota’, ’eminem’, ‘hello1’, ‘biteme’, ‘mickey’, ‘soccer1’, ‘bailey’, ‘cookie’, ‘batman’, ‘peanut’, ‘guitar’, ‘rainbow’, ‘rachel’, ‘asdfgh’, ‘forever’, ‘robert’, ‘silver’, ‘canada’, ‘matthew’, ‘myspace1’, ‘blahblah’, ‘blessing’, ‘poop’, ‘hahaha’, ‘asshole’, ‘fuckyou1’, ‘gateway’, ‘muffin’, ‘666666’, ‘nicole’, ‘iloveyou2’, ‘william’, ‘grace’, ‘secret’, ‘peace’, ‘michelle’, ‘apple’, ‘testing’, ‘orange’, ‘jasmine’, ‘justin’, ‘helpme’, ‘mustang’, ‘11111’, ‘iloveyou1’, ‘pokemon’, ‘welcome’, ‘jessica’, ‘snoopy’, ‘mother’, ‘ginger’, ‘nothing’, ‘amanda’, ‘654321’, ‘aaaaaa’, ‘pass’, ‘matrix’, ‘happy’, ‘qazwsx’, ‘hannah’, ‘single’, ‘jennifer’, ‘1111’, ‘daniel’, ‘charlie’, ‘angels’, ‘thomas’, ‘andrew’, ‘lovely’, ‘hunter’, ‘7777777’, ‘pepper’, ‘heaven’, ‘buster’, ‘ashley’, ‘summer’, ‘faith’, ‘jordan’, ‘purple’, ‘000000’, ‘starwars’, ‘baseball’, ‘blessed’, ‘fuckyou’, ‘joshua’, ‘internet’, ‘cheese’, ‘michael’, ‘superman’, ‘soccer’, ‘asdf’, ‘killer’, ‘freedom’, ‘whatever’, ‘123123’, ‘jesus1’, ‘angel’, ‘football’, ‘tigger’, ‘princess’, ‘computer’, ‘master’, ‘sunshine’, ‘christ’, ‘123456789’, ‘shadow’, ‘1234567’, ‘iloveyou’, ‘111111’, ‘trustno1’, ‘dragon’, ‘monkey’, ‘hello’, ‘password1’, ‘love’, ‘test’, ‘letmein’, ‘abc123’, ‘1234’, ‘12345678’, ‘jesus’, ‘12345’, ‘qwerty’, ‘phpbb’, ‘password’, ‘123456’