Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향해킹당한 IObit 포럼, DeroHE 랜섬웨어 유포하다.
작성일 2021-01-19 조회 5940

IObit는 Advanced SystemCare와 같은 Windows 시스템 최적화 및 악성 프로그램 방지 프로그램으로 잘 알려진 소프트웨어 개발사이다.

 

해킹당한 IObit 포럼 사이트는 지난 주말부터 포럼 회원들에게 DeroHE 랜섬웨어를 유포하기 시작했다. 메일 내용으로는 특전 프로모션으로 소프트웨어 1년 무료 라이센스를 받을 자격이 있다는 것으로 파일 다운로드를 유도했다.

 


[그림1. IObit 소프트웨어를 1년간 무료로 사용할 수 있다는 가짜메일]

 

 

 

이메일에는 hxxps://forums.iobit.com/promo.html으로 Redirect 되는 'GET IT NOW' 링크가 포함되어 있다. 이 페이지는 더 이상 존재하지 않지만 공격 당시 hxxps://forums.iobit.com/free-iobit-license-promo.zip에서 파일을 배포하고 있었다.

 

zip 파일 내부에는 서명된 IObit License Manager 프로그램과 추가 모듈파일들이 존재 했으며 IObitUnlocker.dll이 공격자가 제작한 악성 모듈로 대체되어 있었다.

 


[그림2. 악성모듈로 대체된 IObitUnlocker.dll]

 

 

 

IObit License Manager.exe가 실행되면 IOBitUnlocker.dll 악성모듈이 로드되며 DeroHE 랜섬웨어를 C:Program Files (x86)IObitiobit.dll 경로에 Drop 한뒤 실행한다. 대부분의 파일은 IOBit의 인증서로 서명되고 zip 파일은 공식 포럼에서 배포되었기 때문에 사용자는 랜섬웨어가 실제 프로모션이라고 생각해 실행했을 가능성이 높다.

 

Bleeping Computer는 랜섬웨어를 분석하여 희생자의 컴퓨터에서 실행될 때 어떤 일이 일어나는지 언급했다.


처음 시작할 때 랜섬웨어는 "IObit License Manager" 라는 이름으로 자동 시작 레지스트리를 추가한다. 이는 rundll32.exe 를 실행시키는데 Drop 되었던 "C:Program Files (x86)IObitiobit.dll",DllEntry 문자열을 인자로 받아 랜섬웨어를 실행하는 구조다.

 

Emsisoft의 분석가 Elise van Dorp는 랜섬웨어가 DLL 실행을 허용하기 위해 다음과 같은 윈도우 디펜더 제외 항목을 추가한다고 말했다.

 


[그림3. WindowDefender 제외 명령 실행]

 

 

 

이 후 IObit License Manager의 메시지 박스가 표시되며 컴퓨터를 종료하지말라는 내용이 담겨있다.

 


[그림4. 가짜 메시지 박스]

 

 

 

그동안 파일들의 암호화가 진행되며 암호화된 파일명에는 .DeroHE라는 확장자명이 붙혀진다.

 


[그림5. 암호화된 파일]

 

 

 

각 암호화된 파일에는 아래와 같이 파일 끝에 정보 문자열이 추가된다. 랜섬웨어는 몸값을 지불하면 이 정보를 통해 복호화를 진행할 것으로 보인다.

 


[그림6. 암호화된 파일끝에 붙은 정보]

 

 

 

랜섬웨어는 바탕화면에 암호화된 파일 리스트(FILES_ENCRYPTED.html)와 랜섬노트(READ_TO_DECRYPT.html)를 Drop하게 된다.

 


[그림7. 랜섬노트]

 

 

 

랜섬노트에 적힌 사이트로 접속하게 되면 결제를 진행할 수 있다. 이번 공격은 IObit이 시작점인만큼 IObit가 DERO 코인으로 10만 달러를 보내주면 모든 랜섬웨어 피해자들의 파일들을 복구시켜 준다고 공격자들이 언급하고 있다.

 


[그림8. 랜섬웨어 지불 사이트]

 

 

 

현재 해당 랜섬웨어의 약점이 있는지 분석을 진행하고 있으며 무료로 복호화가 가능한지는 알려지지 않았다. 또한, 공격자들이 요구한 조건을 수용해 지불을 하더라도 해독기를 제공할지는 미지수인 상태이다.

 

Bleeping Computer는 이 공격과 관련해 IObit에 문의를 보냈지만 어떤 답변도 듣지 못했다고 밝혔다.

 

출처

 

https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-in-widespread-derohe-ransomware-attack/

 

https://malwaretips.com/threads/iobit-forum-hacked.106312/

 

https://www.wilderssecurity.com/threads/iobit-forums-hacked.435960/

 

첨부파일 첨부파일이 없습니다.
태그