[긴급] 해킹된 ‘O사단 전우회’ 쇼핑몰 개인정보, 다크웹에 올라왔다

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87994

내용 요약

대한민국 국군 O사단 전역자들의 모임인 'OO 전우회' 쇼핑몰이 해킹돼 해당 쇼핑몰의 회원 정보가 5일 다크웹에 올라온 것으로 드러났다. 다크웹을 집중 연구 및 모니터링하고 있는 보안전문가에 따르면 5일 이름·연락처·주소 등 주문자 및 주문정보, 홈페이지 회원정보 및 회원 이메일, 회원들의 회사정보 등이 총망라된 개인정보가 다크웹에 올라온 게 확인됐다. 해당 정보를 활용한 2차 피해가 우려되는 상황이다.

PDF 첨부파일 ‘NAVER.pdf’의 정체? 개인정보 탈취 피싱!

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87968&kind=&sub_kind=

내용 요약

최근 PDF 첨부파일을 이용한 국내 최대 포털 사이트 피싱공격이 발견되었다. 네이버를 가장한 PDF 파일로 클릭을 유도한 후 개인정보를 탈취하는 피싱 공격이다. 해당 파일명은 'NAVER.pdf'를 사용하고 있으며 실행시 계정 업그레이드가 필요하다며 링크 클릭을 유도한다. 링크 클릭시 피싱 사이트로 이동하게 되며 해당 사이트에 계정 정보를 입력할 경우 개인정보 수집 사이트로 입력된 개인 정보가 전송된다.

TP링크의 NC 시리즈 제품군에서 취약점 다수 발견돼 업데이트 진행

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87989

내용 요약

TP 링크 NC 계열 제품군에서 원격 명령 실행 취약점 등이 발견돼어 펌웨어 업데이트를 발표했다. 사용자 입력값 검증이 없어 발생할 수 있는 명령 주입 취약점과 장비 에일리어스를 설정할 때 사용되는 메소드를 악용하여 쉘 명령을 실행하고 루트에서 임의 명령을 실행 할수 있는 취약점이 발견됐다. 해당 취약점을 활용하면 암호화 된 백업 파일을 웹 인터페이스를 통해 덮어쓰기가 가능하고, 장비에 영구적인 손상을 주는 것도 가능하다.  패치는 지난 4월 29일부터 배포되기 시작했다. TP링크의 NC 제품군을 사용하는 중이라면, 이 패치들을 받아 적용하는 것이 안전하다. 기술적인 세부 사항과 패치 링크는 (https://seclists.org/fulldisclosure/2020/May/4)를 통해 제공되고 있다.

설트의 취약점 두 개 때문에 리니지OS, 고스트, 디지서트에서 사고 발생

수집 날짜

2020-05-06

원문 링크

https://www.boannews.com/media/view.asp?idx=87990&kind=4&sub_kind=

내용 요약

지난 며칠 동안 해커들이 설트(Salt) 취약점 두가지를 악용하여 리니지OS(LineageOS), 고스트(Ghost), 디지서트(DigiCert)의 서버들을 침해하려하는 시도가 이어졌다. 설트는 오픈소스 환경설정 도구로, 데이터센터와 클라우드 환경에서 서버들의 상태를 모니터링하고 업데이트 하는 데 사용된다.  현재 설트스택(SaltStack)이란 곳에서 관리 중에 있다. 서버들에 미니언(minion)이라고 불리는 에이전트를 설치하고, 이를 통해 마스터와 연결해 상태 보고서를 전달하고 업데이트를 받는다. 설트에서 발견된 취약점은 두가지로 CVE-2020-11651과 CVE-2020-11652 원격의 공격자들이 마스터에서 루트 권한을 가지고 임의의 명령을 실행하고 미니언과 연결할 수 있게 해주는 취약점들인 것으로 분석됐다. 익스플로잇 하는 데 성공할 경우, 공격자는 인증 시스템과 인증 제어 장치를 피해가 임의 제어 메시지들을 공개하고, 마스터 서버 파일시스템 어디에서든 파일들을 읽거나 쓸 수 있게 된다고 한다. 또한 마스터에서 루트 권한을 획득하기 위해 필요한 비밀 키도 훔칠 수 있다고 한다. 설트스택 측은 곧바로 패치를 배포하기 시작했다. 업데이트 된 버전은 설트 3000.2로, 위에 설명된 두 가지 취약점들을 전부 해결하고 있다. 그 외 설트 2019.2.4 버전에서도 두 가지 취약점들이 해결되어 있는 상태다.

Google Android RCE Bug Allows Attacker Full Device Access

수집 날짜

2020-05-06

원문 링크

https://threatpost.com/google-android-rce-bug-full-device-access/155460/

내용 요약

구글이 안드로이드 OS에 영향을 미치는 39의 취약점에 대한 패치를 발표했다. 가장 심각한 취약점은 특수하게 조작된 전송을 사용하는 원격 공격자가 임의 코드를 실행할수 있는 취약점으로 익스플로잇할 경우 RCE 버그를 통해 전체 장치에 액세스가 가능하다. 미디어 파일을 처리할 때 이메일, 웹 브라우징, 멀티미디어 서비스(MMS) 등 여러가지 방법을 통해 악용될수 있다고 한다. 발견된 취약점들 중 심각한 취약점은 아래와 같다.

CVE-2020-0103 : 장치 권한에 따라 원격코드 실행 가능한 취약점

CVE-2020-0096 : 안드로이드 프레임워크 구성요소에서 특권 프로세스 임의 코드 실행 가능한 취약점

CVE-2020-3641: 퀄컴의 폐쇄 소스 구성 요소에서 발견된 취약점

구글은 Android의 Media 프레임워크에서 4개의 높은 심각도 취약점, Qualcomm 구성 요소에서 8개의 높은 심각도 취약성, Media에서 4개, Tek 구성 요소, Android Kernel 구성 요소에서 두 가지 높은 심각도 취약성에 대한 보안 업데이트 패치를 발표했고 보안업데이트를 권고했다.

NSA의 데이터 덤프 파헤쳐보니 아무도 몰랐던 사건 나와

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87825&kind=4&sub_kind=

내용 요약

보안전문가 게레로사드는 2017년 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 NSA 문건과 해킹 도구 중 파일 덤프 SIG37을 분석한 결과 2010 ~ 2013 사이에 공격을 받았다고 주장했다. 이 캠페인을 나자르(Nszar)라고 명명했다. 오래된 기간으로 C&C 추적이 어려워 공격의 규모는 파악 불가하나 이란 소재 멀웨어 샘플에서 침투한 흔적이 발견되었다. SIG37 덤프 파일 안에는 sigs.py파일도 있었는데 NSA가 미리 해킹한 컴퓨터에 심어두고 다른 APT 공격자들의 흔적이나 움직임을 간파하기 위해 사용되었을 가능성이 높다. sigs.py 파일 안에는 APT그룹의 공격 시그니처 44개가 존재하며 15개의 시그니처는 아직 배후를 알지 못하고 있는 상황이다.

WHO 요원들의 이메일 주소와 비밀번호 유출됐다

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87835

내용 요약

알 수 없는 공격자가 온라인에 WHO가 사용하고 있는 450여개의 이메일 주소와 비밀번호를 공개했다. 인텔리전스 그룹(SITE Intelligence Group)이 이를 발견하여 처음 보고서로 발표했고 WHO 이메일 유출을 인정했으나 내부 시스템에 영향은 없으며 해커들이 어떤 방식으로, 어느 시점에 이메일 주소와 비밀번호를 획득했는지 공개하지 않았다.

애플 iOS의 제로데이 취약점에 대해 나오는 의심의 목소리들

수집 날짜

2020-04-27

원문 링크

https://www.boannews.com/media/view.asp?idx=87833&kind=4&sub_kind=

내용 요약

얼마 전 보안 업체 젝옵스(ZecOps)가 애플의 iOS에서 “메일만 보내도 장비 내 코드 실행을 가능케 해주는 제로데이 취약점을 2개를 발표했었다.(보안뉴스 4월 23일자 보도)  iOS 6부터 iOS 13.4.1 버전까지 전부 영향을 받으며 취약점 두 가지 중 하나는 사용자의 어떠한 개입 없이도 익스플로잇이 가능하고, 성공한 후 공격자가 코드를 원격에서 실행할 수 있게 된다고 한다. 또 정부의 지원을 받는 것으로 보이는 해킹 단체가 이미 이 취약점을 활발히 익스플로잇 하고 있다고 주장 했었다. 애플 취약점은 인정하나 두 가지 제로데이 취약점만으로 아이폰과 아이패드의 보안 장치를 피해갈 수 없으며 실제 공격에 취약점이 활용되었다는 사례를 찾을 수 없다고 반박하며 조만간 패치를 발표한다고 했다. 일부 보안 전문가들도 두가지 취약점 만으로는 실제 공격 가능성을 의심스럽다며 주장하고 있어 의견이 분분한 상황이다.

'메신저피싱' 지인이라는 함정에 속지 마세요

수집 날짜

2020-04-27

원문 링크

https://www.enewstoday.co.kr/news/articleView.html?idxno=1383726

내용 요약

26일 대전지방경찰청은 최근까지도 피해자의 지인을 사칭, 각종 사회 이슈를 이용해 돈을 가로채는 메신저 피싱이 지속적으로 발생하고 있어 주의가 필요하다고 당부했다. 사기범은 포털이나 메신저 ID를 해킹해 이름과 사진을 빼낸 다음, 해당 사진과 이름으로 사칭 계정을 만들고 이후 주소록에 있는 지인들에게 메시지를 보내는 수법을 사용한다. 최근에는 금전 송금 대신 문화상품권을 구입, 핀(PIN) 번호 전송을 요구하고 있다. 가족 지인으로부터 금전을 요구 받은 경우 반드시 본인 사실 여부를 확인 해야한다.

Hackers exploit zero-day in Sophos XG Firewall, fix released

수집 날짜

2020-04-27

원문 링크

https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released/

내용 요약

해커들이 Sophos XG Firewall에서 제로데이(zero-day)를 익스플로잇하여 공격했다는 보고를 받은뒤 SQL Injection 취약점을 패치하여 발표했다. 지난 4/22 Sophos 는 UTC에서 관리 인터페이스에 표시되는 의심스러운 필드 값을 가진 XG 방화벽에 대한 보고를 받았다. 소포스는 조사에 착수했고 그 사건은 물리적 및 가상의 XG 방화벽 유닛에 대한 공격으로 결정되었다. 이번 공격은 WAN 존에 노출된 관리(HTTPS 서비스) 또는 사용자 포털로 구성된 시스템에 영향을 미쳤다. 공격자들은 제로데이 SQL Injection 공격을 사용했으며, 방화벽 구성에 따라 공격자가 로컬 장치의 데이터를 훔칠수 있었다. LDAP, Active Directory 서비스와 같은 외부 인증 시스템과 관련된 암호는 공격자가 접근할 수 없었다고 말한다. 소포스는 2020-04-25 22:00에 자동 업데이트가 활성화된 모든 XG 방화벽 장치에 대한 핫픽스 롤아웃을 완료했다고 밝혔다.

해킹그룹 ‘APT32’, 코로나19 첩보수집 위해 활발히 활동 중…주의

수집 날짜

2020-04-24

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=108105

내용 요약

APT32 공격자, 스피어피싱 이메일통해 악성 첨부 파일 전달

파이어아이에서 코로나19 관련 정보를 수집하기 위해 정부지원을 받는 APT32 그룹이 활발히 활동하고 있는것이 발견되어 주의를 당부했다. APT32는 베트남 정부와 관련된 것으로 추정되며 코로나19가 처음 발견된 우한시 중국 비상관리부를 표적으로 여러차례 스피어피싱 메세지 공격을 하였다. 이들이 주로 사용하는 악성코드는 OUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO 등이다.

잊을 만 하면 등장하는 ‘발주서’ 악성메일, 이번엔 포스코 사칭했다

수집 날짜

2020-04-24

원문 링크

https://www.boannews.com/media/view.asp?idx=87769

내용 요약

포스코 '발주서'를 사칭한 악성메일이 23일 오전에 발견됐다. 실존 기업을 사칭하고 있어 주의가 필요하다. 첨부된 파일은  ‘RFQ-PO-067MR65870-NO#10-Order&Specifications' 이미지(.img)파일이며 압축해제시 실행파일(.exe)이 나온다.

원격수업 피싱사이트에서 랜섬웨어 유포

수집 날짜

2020-04-24

원문 링크

http://www.inews24.com/view/1259966

내용 요약

코로나19 사태로 온라인 원격수업이 시작되면서 원격수업 관련 파일 다운로드를 유도하는 피싱사이트에서 랜섬웨어가 유포된 사례가 발견됐다. 공격자는 보안이 취약한 웹서버를 해킹하여 자신이 만든 원격수업 관련프로그램 다운로드 위장 피싱 웹페이지를 업로드했다. 원격수업에 필요한 프로그램을 다운받기위하여 검색하는 '구글 클래스룸', '웹캠 드라이버'등을 검색하면 해당 사이트가 검색 결과에 노출된다. 따라서 원격수업을 위한 파일과 프로그램은 공식 페이지에서 다운받아야한다.

SeaChange video platform allegedly hit by Sodinokibi ransomware

수집 날짜

2020-04-24

원문 링크

https://www.bleepingcomputer.com/news/security/seachange-video-platform-allegedly-hit-by-sodinokibi-ransomware/

내용 요약

SeaChange 비디오 플랫폼이 Sodinokibi 랜섬웨어에 의해 공격받았다. 공격자들은 SeaChange 전용 페이지를 만들고 해당 기업에서 유출한 데이터 이미지를 게시하여 몸값을 요구하고 있다. 서버의 폴더 스크린샷, 은행 명세서, 보험증서, 운전면허증 펜타곤 주문형 비디오 서비스 제안서 표지서신등을 게시하였다. 아직 정확하게 얼마를 요구했는지는 알려지지 않았다.

Valve Confirms CS:GO, Team Fortress 2 Source-Code Leak

수집 날짜

2020-04-24

원문 링크

https://threatpost.com/valve-confirms-csgo-team-fortress-2-source-code-leak/155092/

내용 요약

Valve에서 인기 게임 CS: Counter-Strike: Global Attack에서 소스코드가 유출된 것이 발견되었다고 발표했다. 소스 코드 액세스는 일반적으로 소스 엔진 면허인, 밸브 직원 및 계약업체로 제한되어 있는다 유출로 인해 악성 프로그램 설치, 원격 코드 실행 공격 또는 제로 데이 공격 개발 등과 같은 심각한 보안 문제에 대한 우려를 제기하고 있다.

FPGA 칩에서 발견된 스타블리드 취약점, 의견이 분분

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87714

내용 요약

현장 프로그래머블 게이트 어레이(Field Programmable Gate Array, FPGA) 칩에서 심각할 수 있는 취약점이 발견됐다. 해당 취약점을 통해 많은 장비들이 공격에 노출될 수 있다고 한다. FPGA 칩은 현장 프로그래밍이 가능한 보안 칩셋으로 발견된 취약점을 악용할 경우 원격 접근을 통한 공격이 가능하며, 발견한 보안 연구원들은 공격난이도와 비용이 낮은편이라 위험하다고 주장하였다. 하지만 FPGA 장비 만드는 회사는 원격 접근은 사실상 불가능하며 공격난이도가 높다고 반박하고 있는 상황이라 의견이 분분하다.

[해킹 경보] '닌텐도 동물의 숲 에디션' 판매 피싱사이트 주의

수집 날짜

2020-04-22

원문 링크

http://m.newspim.com/news/view/20200421000209

내용 요약

최근 인기를 끌고 있는 '닌텐도 동물의 숲 에디션' 중고제품 판매를 위장한 피싱사이트를 통해 개인정보 거래대금 탈취 시도가 발생했다. 21일 안랩에 따르면, 공격자는 중고거래를 위장하는 내용의 게시물로 피해자를 현혹하여 안전거래를 주장하며 피싱사이트인 특정 URL을 구매자에게 발송했다. 해당 URL을 클릭하면 실제 안전거래를 적용한 사이트와 구분하기 어려울 정도로 유사하게 제작되어 있어 피싱사이트임을 알아채기 어렵다. 피해자가 개인정보를 입력하면 공격자에게 전송이되고 공격자에 목적에 따라 악용될 수 있기 때문에 주의가 필요하다.

중국의 해킹 단체 윈티, 한국의 게임사 그래비티 공격

수집 날짜

2020-04-22

원문 링크

https://www.boannews.com/media/view.asp?idx=87738&kind=4&sub_kind=

내용 요약

첩보 전문 업체인 쿼인텔리전스(QuoIntelligence)가 중국 APT 공격 단체인 윈티그룹이 한국 비디오 게임회사인 그래비티(Gravity)를 공격했다고 보고서를 발표했다.. 윈터그룹은 지난 반 년 동안 포트리유즈(PortReuse), 마이크로소프트의 SQL을 표적으로 삼는 스킵 2.0,  셰도우패드(ShadowPad)의 새 변종과 같은 백도어를 활용해 다양한 대상들을 공격헀다. 쿼인텔리전스 측에서 윈티의 기존 드로퍼와 흡사한 멀웨어 샘플이 한 온라인 멀웨어 스캔 서비스에 업로드 되었고 샘플을 분석해 공격의 표적이 한국이라는 것을 발견했다.

Banking.BR Android Trojan Emerges in Credential-Stealing Attacks

수집 날짜

2020-04-22

원문 링크

https://threatpost.com/android-banking-br-trojan-credential-stealing/154990/

내용 요약

"Banker.BR"라는 새로운 안드로이트 트로이 목마가 발견됐다. 악성 프로그램은 사용자를 공격자가 제어하는 악의적인 도메인으로 이끄는 메시지를 통해 전파된다. 도메인은 피해자들에게 모바일 뱅킹에 필요한 것으로 알려진 "보안 앱"의 최신 버전을 다운로드하도록 지시한다. 피해자가 업데이트 버튼을 클릭하면 자신도 모르게 합법적인 파일 공유 플랫폼에서 악성 프로그램 다운로드를 시작한다.해당 멀웨어는 "elaborate"라는 오버레이 공격 기능을 이용하여 피해자들의 크리덴셜을 탈취하고 계좌 인수를 목표로 하고 있다. 보안 연구원들은 해당 멀웨어는 스페인어, 포루투칼어를 사용하는 국가들을 대상으로 하고 있으며 지속적으로 개발되고 있어 향후 확상된 오버레이 기능과 코드향상에 대해 경고 하고 있다.

DoppelPaymer Ransomware hits Los Angeles County city, leaks files

수집 날짜

2020-04-22

원문 링크

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

내용 요약

LA County City가 도펠페이머 랜섬웨어(DoppelPaymer Ransomware)에 공격받은 것으로 알려 졌다. 공격자들은 비트코인 100달러(68만9147달러)를 지불하면 유출된 파일 삭제, 도난 파일 추가 공개 금지를 해준다며 요구하고 있다. 도플페이머 운영자들은 Bleipping Computer에 보낸 이메일에서 3월 1일 공격에서 시티의 지역 백업을 지운 다음 약 150대의 서버와 500대의 워크스테이션을 암호화했다고 밝혔다. 현재 200GB 파일을 도난당한 것으로 추정된다. 도펠페이머는 2020년 2월 몸값을 거부하는 피해자들의 도난 데이터를 공개하는 데 이용했던 '도플 누출' 사이트를 만들었다. 도펠페이머는 이 사이트에 대한 새로운 업데이트를 통해 랜섬웨어 공격 중 시에서 도난당한 것으로 알려진 수많은 파일 보관 파일이 포함된 "City of Torrance, CA" 페이지를 만들었다. 이 자료에는 기록관 명칭에 근거하여 시 예산 재정, 각종 회계 문서, 문서 스캔, 시 관리자에 속하는 문서 보관 등이 포함되어 있다. 그들이 훔쳤다고 주장하는 모든 파일들을 나열한 Bleipping Computer와 공유된 텍스트 파일에는 8,067개의 디렉토리 전체에서 269,123개의 파일이 나온다. 지난 3월 현지 언론은 토런스 시에 대한 사이버 공격 소식을 [1, 2] 보도했다. 당시 시는 "공공 개인 데이터"가 영향을 받지 않았다고 밝혔다.

[주의] 이력서로 위장한 makop 랜섬웨어 (04.13)

수집 날짜

2020-04-14

원문 링크

https://asec.ahnlab.com/1314

내용 요약

4월 13일 이력서로 위장해 유포중인 makop 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서로 위장하여 유포중이며 메일내 첨부파일에는 한글문서를 가장한 .exe 실행파일이 존재한다. 어눌한 한국말로 보아 한국인은 아닌것으로 보인다. 감염시 원본파일명.[랜덤8자].[akzhq412@protonmail.ch].makop 로 파일명이 변경된다.

“코로나19 관련 도메인 10만개 증가…악성코드 감염ㆍ사이버공격 주의”

수집 날짜

2020-04-14

원문 링크

https://www.dailysecu.com/news/articleView.html?idxno=107793

내용 요약

코로나 바이러스를 악용하는 사이버 위협 사례가 증가하고 있다.

1. 코로나 관련 피싱/멀웨어 배포

코로나 관련 키워드로 이메일 등 링크로 유인하여 RAT Tool(NetWire, NanoCore, LokiBot) 및 기타 멀웨어 공격

2. 페이크 애플리케이션

코로나 정보 제공 앱을 가장한 악성 애플리케이션 배포중

3. 코로나 관련 도메인 네임

코로나를 포함한 도메인이 10만건이 넘는것으로 확인되었다.

내가 접속한 ‘성인사이트’ 모두 안다고? 다크웹 개인정보 악용한 협박 메일

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87585

내용 요약

다크웹에 유출된 개인정보를 악용하여 협박메일이 유포중인것이 발견되었다. 협박메일은 자신의 컴퓨터에 키로거, 원격제어 도구 등을 모두 설치해서 '성인사이트' 접속한 것을 모두 녹화해 두었으니 유포를 막으려면 비트코인을 달라는 내용이었다. 메일제목에 피해자가 기존에 사용하면 패스워드를 기입하여 그럴듯하게 가장하였다. 해당 사례처럼 해킹사고로 유출된 개인정보가 다크웹 등에 판매 또는 공개되면서 유출된 정보를 악용한 2차 피해가 우려되는 상황이다.

애플도 안심할 수 없다! 애플 사용자 노린 피싱 등장

수집 날짜

2020-04-14

원문 링크

https://www.boannews.com/media/view.asp?idx=87554

내용 요약

최근 애플 사용자 계정정보를 노린 피싱메일 공격들이 발견되었다. 해당 메일 제목은 '알 수 없는 기기를 사용하여 로그인'이란 제목으로 클릭을 유도하고 있다. 수신자가 링크를 클릭할 경우 허의 로그인 정보를 포함한 PDF 파일이 다운로드 되고 PDF에 삽입된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱사이트로 이동된다. 피싱사이트에서 계정정보를 입력하면 해당 정보를 수집하고 추가적으로 더 자세한 정보를 수집하기위한 2차 페이지로 이동된다.

Overlay Malware Leverages Chrome Browser, Targets Banks and Heads to Spain

수집 날짜

2020-04-14

원문 링크

https://threatpost.com/overlay-malware-exploits-chrome-browser-targets-banks-and-heads-to-spain/154713/

내용 요약

Grandoreiro라는 뱅킹 멀웨어는 가짜 크롬브라우저 플러그인("Google Plugin" 버전 1.5.0로 가장)을 사용하여 고객 크리덴셜을 훔치는 원격 오버레이 악성코드 공격을 한다. 그란도레로(Grandoreiro)는 원격 오버레이 뱅킹 트로이 목마의 일종으로, 공격자가 장치를 추월하고 피해자가 온라인 뱅킹 계정에 접속할 때 전체 화면 오버레이 이미지를 표시할수 있도록 고안되었다. 즉 온라인 계정 접속할때 가짜 이미지 사이트를 보여주고 고객 크리덴셜을 수집하여 뒤에서는 계좌에 돈을 빼내는 방법이다. 해당 공격은 브라징의 은행을 타깃으로 하고 있는 것으로 알려졌는데 최근 스페인 은행이 공격되면서 사업을 확대하고 있다는 것이 발견되었다. 해당 악성 프로그램은 코로나를 주제로한 비디오(스팸 SMS)를 악용하여 URL 클릭을 유도하여 유포되고 있다.

URL 클릭 -> 파일 다운로드 유도 -> MSI 파일다운 -> C2 서버와 연결

C2 서버를 통해 기기 정보 수집, 원격 액세스 기능을 수행할 수 있다.