전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  2. 게시판
  3. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [이스트소프트] 보험회사 위장 악성코드 메일 유포 중!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2020-12-23
  • 추천 추천하기
  • 조회수 390





2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다.  






 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다.  






이 악성코드는 파일을 실행하면 리소스 영역(RCData  WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다.  





리소스 영역(RCData  WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다.  




이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다. 이때 생성된 PE 내 리소스 영역에는 실제 악성 행위를 수행하는 ‘NanoCore’ 페이로드가 존재합니다.  







이 페이로드는 최종 자식 프로세스에 인젝션되어 실행됩니다.


 ‘NanoCore’는 RAT(Remote Access Trojan)으로 감염된 PC를 공격자의 서버(185.140.53.155)로부터 명령을 받아 원격 조작됩니다. 


원격제어 기능은 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 지원합니다.



 



현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Razy.802650’, ‘Trojan.GenericKD.30598436’ 탐지 중입니다

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
스팸신고 스팸해제 목록 삭제 수정 답변
댓글 수정

비밀번호 :

수정 취소

/ byte

비밀번호 : 확인 취소

HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

02-716-1915

FAX : 02-716-1917
MAIL : sales@softinfo.co.kr
MONDAY - FRIDAY AM 10 - PM 6
LUNCH 12:00 - 13:00
WEEKEND, HOLIDAY OFF

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

COMPANY : (주)소프트정보서비스        OWNER : 박양근       CALL : 02-716-1915        ADRESS : 04376 서울특별시 용산구 한강대로 109 (한강로2가) 용성비즈텔 802호       
BUSINESS NUMBER : 106-81-80499 [사업자정보확인]        SHOPPINGMALL ORDER LICENSE : 제2004-서울용산-03126호 [사업자정보확인]
E-MAIL : sales@softinfo.co.kr

Copyright(c) (주)소프트정보서비스 all rights reserved.        호스팅제공자 : (주)카페24

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close