:: DURUAN ::

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2020년 7월 1주 동향 보도일|2020.07.09　조회수|1901

The Hacker News 발췌분

A New Ransomware Targeting Apple macOS Users Through Pirated Apps (2020-07-01)

l K7 Lab 악성코드의 연구원인 Dinesh Devadoss, Patrick Wardle, Malwarebytes의 여러 독립 보고서에 따르면, "EvilQuest"라고 불리는 랜섬웨어 변종이 합법적인 앱과 함께 패키징되고, 애플의 CrashReporter 또는 Google 소프트웨어 업데이트로 위장되어 함께 설치되는 것을 확인했습니다.

l "EvilQuest"는 피해자의 파일을 암호화하는 것 외에도 시스템에서 악의적인 행동을 탐지하거나 차단할 수 있는 모든 보안 소프트웨어를 제거하고, 론칭 에이전트 및 데몬 속성 목록 파일("com.apple")을 사용하여 지속성을 보장하고, 키 입력을 로그로 기록하며, 리버스 쉘을 만들고, 암호화폐 지갑 관련 파일을 훔치는 기능도 함께 제공합니다.

l“EvilQuest”는 마지막 단계에서 자체 복사본을 출시하고 암호화 파일("allet.pdf")과 Keychain 관련 파일을 계산한 후, 결국 72시간 이내에 50달러를 지불하라는 몸값 지침을 표시하거나 파일을 잠글 위험이 있습니다.

l암호 해독기를 만들기 위한 암호화 알고리즘의 약점을 찾기 위한 작업이 진행되고 있는 동안, MacOS 사용자는 랜섬웨어의 결과를 피하기 위해 모든 중요한 데이터의 백업 복사본을 최소 두 개 이상 보관하고, 하나 이상의 백업본을 항상 Mac에 첨부해서는 안 됩니다.

l 뉴스보기

e-Commerce Site Hackers Now Hiding Credit Card Stealer Inside Image Metadata (2020-06-29)

l Malwarebytes researchers은 최근 사이버범죄단이 이미지 파일의 메타데이터 안에 스키밍 코드를 숨기는 스테가노그라피의 한 방법을 차용해, 해킹된 온라인 상점에 방문한 고객들이 입력한 결제카드 정보를 몰래 빼내고 있는 것을 밝혔습니다.

l "Web skimming"또는 "Magecart attack"이라고 알려진 이 취약점의 진화한 전술은 WooCommerce WordPress 플러그인을 운영하는 온라인 스토어에 스키머를 심고, 의심스러운 도메인의 (cddn.site) 선호 이미지에 대한 EXIF(Exchangeable Image File Format) 메타데이터에 포함되어 있는 자바스크립트 조각을 실행하는 것입니다. 온라인 쇼핑객이 자신의 이름, 청구지 주소, 신용카드 내역 등을 입력하는 입력 영역의 내용을 파악한 후 Base64 포맷을 사용하여 캡처한 정보를 인코딩하고 출력 문자열을 반대로 하여 전송하는데, 데이터는 유출 과정을 감추기 위해 이미지 파일 형태로 전송됩니다.

l또한 전송되는 과정에서 "browsertunnel"이라고 불리는 오픈소스 소프트웨어가 사용되었는데, 이는 도구에서 보낸 메시지를 해독하는 서버와 메시지를 인코딩하고 전송하는 클라이언트 쪽 자바스크립트 라이브러리로 구성되어 있고, 웹페이지에서 작업을 수행한 후 DNS 트래픽으로 위장하여 디버깅 툴 및 CSP, 기업 방화벽과 프록시를 우회합니다.

l 뉴스보기