Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향AgentTesla, 피싱 메일을 통해 사용자 정보를 노린다.
작성일 2021-06-08 조회 50

피싱 메일은 사용자의 암호 및 기타 중요 정보를 도난하기 위해 가장 흔하게 사용되는 방법 중 하나다. 이 때 사용되는 AgentTesla 악성 코드는 2014년에 처음 등장했으며 지금까지도 활발하게 활동중에 있다. AgentTesla 는 대상 PC에 감염 시 키로깅, 사용자 정보 및 암호화폐 등을 도난하는데 초점을 맞추고 있으며, 최근 Fortinet 연구원들이 피싱 메일을 통해 유포되는 AgentTesla의 새로운 버전을 분석해 보고서를 공개했다.

 

피싱 메일에는 비즈니스 전자 메일처럼 보이도록 사칭한 뒤, 주문 관련 목록이 포함된 파일을 첨부했다며 열람을 요청하고 있다. 첨부된 문서에는 AgentTesla를 설치하고 실행하는 매크로가 포함되어 있다.

 


[그림1. 피싱메일]

 


[그림2. 매크로가 포함된 악성 문서]

 

 

 

매크로는 PowerShell, VBS 관련 스크립트들을 실행, AgentTesla를 Drop하게 되고 악성 행위를 수행하게 된다. 보안 연구원들이 분석한 최근 버전의 AgentTesla는 20분마다 공격자에게 키로깅 데이터를 전송하도록 설계됬다. 이 외에도, 클립보드 데이터를 지속적으로 감시해는데 만약 비트코인 지갑과 관련된 데이터가 감지될 경우, 공격자가 소유한 주소로 변경해 가상화폐를 도난하는 기능도 추가됬다.

 


[그림3. VBS 스크립트]

 


[그림4. PowerShell 스크립트 자동시작 등록]

 


[그림5. 가상화폐 주소 변경 소스코드]

 

 

 

AgentTesla는 2014년부터 시작했는데도 불구하고 15달러정도의 저렴한 가격으로 서비스되고 있다. 때문에 사이버 범죄자들에게 인기가 많은 악성 코드로 뽑히고 있다. 또한, 24시간 기술 지원을 제공하고 있어 사이버 공격에 대한 진입 장벽을 낮춰주고 있다.

 

보안 연구원들은 "대부분의 AgentTesla는 피싱메일로 유포되고 있다. 의심스러운 메일같은 경우 첨부된 파일의 실행을 지양해야 하며 사용중인 AntiVirus 제품들의 버전을 최신버전으로 유지해야한다. 적절한 조치만 취해준다면 충분히 예방할 수 있다." 고 설명했다.

 

출처:

 

https://www.zdnet.com/article/this-phishing-email-is-pushing-password-stealing-malware-to-windows-pcs/

 

https://www.fortinet.com/blog/threat-research/phishing-malware-hijacks-bitcoin-addresses-delivers-new-agent-tesla-variant

첨부파일 첨부파일이 없습니다.
태그 AgnetTesla  QPKG 설치 패키지  RCE