Cago_Note

XWorm v5.6 — 무엇이고 어떻게 공격하는가TL;DRXWorm v5.6은 .NET 기반의 원격접근 트로이목마(RAT)로, 스크린샷·키로깅·파일 탈취·원격 명령 실행·DDoS 등 다양한 악성 행위를 수행할 수 있습니다. 주로 스크립트 드로퍼(WSF/VBS/PowerShell 등)를 통해 유포되며, 난독화·프로세스 주입·암호화 통신으로 탐지를 회피합니다. 자세한 분석 원문은 아래를 참고하세요.원문 분석: https://cago-young.tistory.com/226소개XWorm은 Windows 환경에서 동작하는 .NET 기반 RAT(원격접근 트로이목마) 계열 악성코드입니다. 기능이 풍부하고 유연해 공격자가 다양한 목적(정보 탈취, 원격 제어, 네트워크 교란 등)에 맞게 활용할 수 있습니다. 최신 변종은..

RemcosRAT 6.0.0 Pro — 상용 RAT의 악성화 과정TL;DRRemcosRAT는 독일 Breaking Security사에서 합법적 원격 관리용으로 개발된 상용 프로그램이지만, 2016년 이후 사이버 범죄자들에게 악용되어 강력한 정보 탈취·원격 제어 악성코드로 자리 잡았습니다.CVE-2017-11882 취약점과 VBE 스크립트를 통한 감염, 지속적인 버전 업데이트, 그리고 다양한 원격 명령 기능이 특징입니다.👉 참고 원문: https://cago-young.tistory.com/227 [분석] RemcosRAT 6.0.0 Pro보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.cago-young.tistory.com RemcosRAT이란?Remcos(Remote Control &..

[분석] AsyncRAT v0.5.8 — .NET 기반 원격접근 트로이목마(RAT)TL;DRAsyncRAT v0.5.8은 원래 합법적 원격관리용으로 공개된 오픈소스 툴이지만, 악성 변형으로 손쉽게 악용되어 키로깅·화면 캡처·자격증명 탈취·원격 제어 등 강력한 스파이 기능을 수행합니다. 주로 피싱·스크립트 드로퍼 경로로 유포되며, 파일리스 실행·프로세스 홀로잉·난독화 등으로 탐지를 회피합니다.참고 원문: https://cago-young.tistory.com/228 [분석] AsyncRAT v0.5.8 .NET 기반 트로이 목마(RAT)보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.cago-young.tistory.com AsyncRAT이란?AsyncRAT(Asynchronous Remot..

AgentTesla 간단 정리1. AgentTesla란?.NET 기반 인포스틸러(정보 탈취형 악성코드)2014년부터 활동, 현재까지도 꾸준히 변종이 발견됨원래는 합법적 원격 관리 툴처럼 판매되었지만, 지금은 해커들이 악용2. 감염 경로주로 피싱 이메일로 유포첨부된 Word/Excel/RTF 문서에 악성 코드 삽입일부는 크랙 소프트웨어, 가짜 업데이트 사이트로도 배포됨3. 주요 기능키로깅: 사용자의 키보드 입력 기록스크린샷/클립보드: 화면 캡처 및 복사한 텍스트 탈취비밀번호·쿠키 탈취:웹 브라우저(Chrome, Edge, Firefox 등)이메일 클라이언트(Outlook)FTP 툴(FileZilla 등)데이터 유출 방식: SMTP(이메일), FTP, Telegram 등 다양한 채널을 통해 전송4. 최근 동..

📝 PureLogs Stealer1. 소개PureLogs Stealer는 최근 활동이 증가한 정보 탈취형 악성코드(정보 스틸러)로, 주로 웹 브라우저, 메신저, 암호화폐 지갑 등에서 민감한 데이터를 빼돌리는 데 사용됩니다.2. 배경 및 역사2022년 중반부터 등장한 계열로, 기존 RedLine·Raccoon 같은 스틸러의 후속/변종으로 보는 시각이 많습니다.다크웹 포럼에서 판매되며, 공격자가 구독형(월별·수개월 단위)으로 쉽게 구입해 활용할 수 있습니다.3. 감염경로피싱 이메일 첨부 파일·링크크랙·불법 소프트웨어 위장 설치파일악성 광고(Malvertising)Telegram·Discord 채널을 통한 유포4. 핵심기능웹 브라우저 쿠키·세션·저장된 비밀번호 탈취디스코드·텔레그램 토큰 탈취암호화폐 지갑 정..

환경부 사칭 쓰레기(음식물) 스미싱 피싱 사이트 분석(25.07.25) TL;DR: 환경부 사칭 “배출장소 위반” 메시지로 유도되는 스미싱 사이트는 Android 사용자 대상 앱 설치 유도 방식이며, VirusTotal 탐지 결과를 통해 악성 앱 가능성이 높아 주의가 필요합니다. 최근에 다시 관공서를 사칭한 스미싱, 피싱 사이트가 다시 기승을 부리고 있는 거 같습니다. 저번에 작성한 정부 24(구 민원24) 사칭 , 경찰청 교통민원 피싱 내용과 유사한 형태의 스미싱을 발견했습니다. 이번에 발견한 스미싱도 비슷한 내용과 관공서 사칭을 하여 스미싱 문자를 배포하여 클릭을 유도하는 것으로 보입니다. 저번에는 키워드가 교통 관련 한 내용과 "쓰레기 무단투기"이었습니다. 경찰청 교통민원 스미싱 증가! 피싱 사이..

1. 이커머스 피싱이란?이커머스 피싱(e-commerce phishing)은 온라인 쇼핑을 이용한 사이버 범죄로, 가짜 쇼핑몰이나 사칭 이메일을 통해 사용자의 개인 정보와 결제 정보를 탈취하는 행위입니다. 한국에서는 Coupang, 11번가 같은 플랫폼의 인기가 높아지면서 이커머스 피싱이 점점 더 정교해지고 있습니다. 공격자는 AI 기술을 활용해 개인화된 피싱 이메일을 보내거나, 유명 브랜드를 사칭하여 신뢰를 얻습니다.이커머스 피싱의 주요 특징목표: 신용카드 정보, 계좌 정보, 로그인 자격 증명 등 민감한 데이터 탈취.영향: 금전적 손실, 개인 정보 유출, 신원 도용.2. 이커머스 피싱의 주요 수법이커머스 피싱은 다양한 형태로 나타나며, 다음과 같은 수법이 주로 사용됩니다:수법 설명가짜 쇼핑몰 운영유명 ..

방첩사 계엄문건 사칭… 북한 소행 추정 피싱 공격최근 경찰청은 작년 말에 북한의 소행으로 추정되는 사이버 공격에 대해 긴급 보도자료를 통해 경고를 내렸습니다. 이 공격은 대한민국 방첩사 계엄문건을 사칭한 문서와 피싱 URL을 이용해 악성 행위를 유도한 사례로, 단순한 피싱을 넘어선 사회공학 기반 공격이었습니다. 📌 공격 방식 요약공격자는 피싱 메일 혹은 메시지를 통해 다음과 같은 방식으로 사용자를 속였습니다:문서 사칭: ‘방첩사 계엄문건’이라는 매우 자극적인 제목을 사용URL 기반 피싱: http://naver.com@phishingsite.com 형태와 타이포스쿼팅(Typosquatting) 또는 홈그래핑(Homograph Attack)을 활용정보 탈취: 아이디와 비밀번호(계정정)등 중요 정보 탈취북..

🔗 URL 기본 구조와 @을 활용한 피싱 기법웹에서 자원에 접근할 때 사용하는 주소인 **URL (Uniform Resource Locator)**은 다음과 같은 구성 요소를 가집니다.📌 URL 기본 구성 요소Scheme (스키마)자원에 접근하는 방식 (프로토콜)http, https, ftp, mailto 등Host (호스트)자원이 위치한 서버의 도메인 또는 IPwww.example.comPort (포트)생략 가능하며 서버의 특정 포트를 지정:443, :21 등Path (경로)자원에 대한 위치/files/image.jpgQuery (쿼리)추가 파라미터 정보 (?key=value)?id=123&view=fullFragment (프래그먼트)문서 내 특정 위치를 지정 (#)#section2📌 예시 URL..

최근 악성 파일 사례1. 교통법규 위반 고지서를 위장한 스미싱 공격최근, "과속 운전 벌점 통지서"라는 메시지를 포함한 악성 링크가 포함된 문자 메시지가 사용자에게 전송되는 사례가 증가하고 있습니다. 해당 링크를 클릭하면 악성 파일이 다운로드되며, 이를 실행하면 금융 정보 탈취 등의 피해가 발생할 수 있습니다.2. 가짜 이력서 및 계약서를 이용한 악성코드 유포기업을 대상으로 한 스피어피싱 공격이 증가하고 있습니다. 공격자는 "입사지원서" 또는 "계약서"로 위장한 문서 파일을 이메일에 첨부해 발송하며, 사용자가 이를 열람하면 매크로 실행을 통해 악성코드가 설치됩니다.3. 크립토 마이너 악성코드최근에는 정식 소프트웨어로 위장한 크립토 마이너 악성코드가 발견되었습니다. 해당 악성 파일을 실행하면 사용자 모르게..