카드사 보안메일 인증 위장 LNK 주의!

 최근 카드사 보안메일 인증창을 위장해 사용자 정보를 탈취하는 악성 LNK 파일이 유포된 정황이 포착됐다. 확인된 악성 LNK 파일은 카드사를 위장한 파일명을 갖고 있어 이용자가 쉽게 속을 수 있다. 따라서 이용자들의 각별한 주의가 필요하다.

사용자가 LNK 파일을 실행하면 악성 DLL 파일(sys.dll)과 악성 파일 다운로드 URL이 포함된 텍스트 파일(user.txt)이 생성 및 악성 행위가 발현된다. 특히 공격자는 탐지를 회피하기 위해 DLL을 메모리에 매핑했다. 이는 악성코드에서 자주 활용되는 기법이다.

악성코드는 정보 탈취(Infostealer), 백도어 유형이며, 크롬, 엣지 등 브라우저 정보 탈취, 구글, 야후, 페이스북, 아웃룩 정보탈취, 파일목록 수집, 파일 등을 유출한다.

안랩은 22일 "정상적인 문서나 메일로 위장한 악성 LNK 파일이 지속적으로 유포되고 있다"며, "사용자로 하여금 의심 없이 파일을 실행하도록 유도하는 방식이 점점 정교해지고 있다. 최근에는 신뢰도가 높은 기관을 모방해 사용자들의 각별한 주의"를 당부했다.

Related Materials

• LNK or Swim: Analysis & Simulation of Recent LNK Phishing - Splunk, 2024년
• ZDI-CAN-25373 Windows Shortcut Exploit Abused as Zero-Day in ... - Trend Micro, 2025년
• Hackers Weaponizing Windows shortcut files for Phishing - GBHackers, 2024년
• LNK Files And SSH Commands: A New Cyber Attack Trend In 2024 - The Cyber Express, 2024년
• Stealthy Cyber Attacks: LNK Files & SSH Commands Playbook - Cyble, 2024년

악성코드가 26만9천개 웹사이트 타격

자바스크립트 기반 악성코드 ‘JSFireTruck’가 269,000개 이상의 웹사이트를 감염시켰다. 공격자는 HelloTDS라는 고급 트래픽 분배 서비스(TDS) 시스템을 악용해 악성 자바스크립트를 배포했다. ‘JSFireTruck’ 악성코드는 독특한 난독화 기술로 코드 분석을 어렵게 하는 등 기존 보안 탐지를 회피한다. 웹사이트에 악성 자바스크립트를 주입해 사용자 행동을 조작하거나, 악성 사이트 유도에 사용된다. 팔로알토 유닛 42는 지난

The Tech EdgeCheifEditor

우리가 알던 악성코드, 달라졌다...보안제품 싹싹 피해가

💡Editor Pick - 6월 악성코드, 새롭게 변형된 다양한 인포스틸러 악성코드 유포 - EXE 유형 약 94.4%, DLL-SideLoading 유형 약 5.6% 6월에는 LummaC2를 비롯해 Rhadamanthys, ACRStealer, Vidar, StealC 등의 다양한 인포스틸러가 악성코드가 유포됐다. 특히 ACRStealer는 새로운 변종이 많이 유포됐다. 안랩이 발표한 ’2025년 6월 인포스틸러 동향 보고서’에 따르면 6월 한

The Tech EdgeCheifEditor

PDF 기반 악성 캠페인, 콜백 피싱과 큐알코드 곁들인 종합 선물세트

💡Editor Pick - Cisco Talos, 브랜드 로고를 활용 가짜 PDF 문서 통한 공격 시도 - TOAD(Telephone-Oriented Attack Delivery) 형태의 공격 - Microsoft, NortonLifeLock, Paypal, DocuSign, GeekSquad 등의 브랜드 사칭 PDF 문서를 활용한 피싱 공격이 기승을 부리는 중이다. 보안 업체 시스코(Cisco)의 탈로스 팀(Talos)이 발표한 바에 의하면,

The Tech EdgeJustAnotherEditor