최근 사용자 계정 컨트롤(UAC, User Access Control) 우회 기능이 추가된 “Casbaneiro” 악성코드 변종이 발견됐다.
보안 업체 Sygnia는 "Casbaneiro" 악성코드가 라틴 아메리카의 금융 분야에서 스피어 피싱 메일의 첨부 파일로 유포된다고 전했다. 공격자는 기존에 PDF 파일을 첨부해 악성 ZIP 파일을 다운로드하도록 유도했지만, 발견된 변종에서는 HTML 파일을 첨부했다. 해당 파일을 실행하면 공격자의 사이트로 리다이렉션을 해 악성 RAR 파일을 다운로드한다. 또한, 다운로드한 파일을 Shell 레지스트리 키에 등록해 관리자 권한으로 실행하도록 설정한다.
이후 윈도우의 기능 관리 프로그램인 fodhelper.exe를 실행하면 레지스트리를 확인해 관리자 권한으로 셸이 동작하고 UAC를 우회하게 된다.
사진 출처 : Sygnia
출처
[1] Sygnia (2023.07.25) – BREAKING DOWN THE CASBANEIRO INFECTION CHAIN – PART II
https://blog.sygnia.co/breaking-down-casbaneiro-infection-chain-part2
'최신 보안 동향' 카테고리의 다른 글
| Microsoft 365 계정을 노리는 EvilProxy 피싱 캠페인 (0) | 2023.08.10 |
|---|---|
| Linux를 공격하는 Abyss Locker 랜섬웨어 변종 (0) | 2023.08.02 |
| 텔레그램 보안 업데이트로 위장한 피싱 사이트 (0) | 2023.07.25 |
| 정보를 탈취하는 Meduza 스틸러 발견 (0) | 2023.07.14 |
| 파일 관리 앱으로 위장한 스파이웨어 (0) | 2023.07.14 |