전체상품목록 바로가기

본문 바로가기

 
신규가입시 3,000P 지급
현재 위치
  1. 게시판
  2. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [이스트소프트] 보험회사 위장 악성코드 메일 유포 중!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2020-12-23
  • 추천 추천하기
  • 조회수 56





2020년 12월 16일 특정 보험사를 사칭한 ‘[00손해보험] 자동차보험 증권입니다.’라는 제목으로 스팸 메일을 통해 원격 제어 악성코드인 ‘NanoCore’가 유포되고 있습니다.  






 첨부 파일을 확인해 보면 윈도우에서 소프트웨어 설치에 사용되는 Windows 캐비닛('.cab') 파일이 존재하며, 이 파일은 실행파일인 exe 파일을 포함합니다.  






이 악성코드는 파일을 실행하면 리소스 영역(RCData  WIOSOSOSOW)의 난독화된 쉘코드(Shellcode)를 실행합니다.  





리소스 영역(RCData  WIOSOSOSOW) 난독화 된 쉘코드를 복호화하는 코드입니다.  




이 쉘코드는 exe 파일 내 숨겨진 난독화 된 데이터를 메모리 상에서 복호화합니다. 이때 생성된 PE 내 리소스 영역에는 실제 악성 행위를 수행하는 ‘NanoCore’ 페이로드가 존재합니다.  







이 페이로드는 최종 자식 프로세스에 인젝션되어 실행됩니다.


 ‘NanoCore’는 RAT(Remote Access Trojan)으로 감염된 PC를 공격자의 서버(185.140.53.155)로부터 명령을 받아 원격 조작됩니다. 


원격제어 기능은 키로깅, 스크린샷 캡처 및 계정 정보 수집과 같은 다양한 기능들을 지원합니다.



 



현재 알약에서는 해당 악성코드 샘플에 대해 ‘Gen:Variant.Razy.802650’, ‘Trojan.GenericKD.30598436’ 탐지 중입니다

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close