Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Discord를 이용한 새로운 랜섬웨어 발견
작성일 2021-03-08 조회 4854

MalwareHunter 보안 연구원들이 새로운 랜섬웨어를 발견했다. Hog로 불리는 랜섬웨어는 피해자가 파일들을 복호화하기 위해서 개발자의 Discord 서버에 참여해야만 하는 독특한 방식이 사용됬다.

 

Bleeping Computer는 Virustotal을 통해 랜섬웨어 샘플을 발견했고 실행 시 특정 Discord의 서버가 존재하는지 확인하고 파일 암호화를 시작한다. 암호화가 되면 .hog 확장자가 추가되고 복호화를 위한 파일이 생성된다.

 


[그림1. 암호화된 파일]

 

 

 

복호화 프로그램을 실행하면 현재 발생한 상황에 대해 설명하고 Discord  사용자 토큰을 입력하라는 메시지가 표신된다.

 


[그림2. Hog 랜섬웨어 Decryptor]

 

 

 

토큰을 입력하게 되면 Discord의 API를 이용해 다음과 같이 서버에 가입되어 있는지 확인한다.

 


[그림3. Discord 서버 가입여부 소스코드]

 

 

 

피해자가 서버에 가입했거나 서버가 존재하지 않을 경우 랜섬웨어 내부에 내장된 Key를 사용해 파일들의 복호화를 진행한다.

 


[그림4. 복호화 진행]

 

 

 

Discord 악의적인 목적으로 사용된건 이번이 처음이 아니다. TrendMicro가 발견한 Humble 랜섬웨어는 피해자의 정보들을 수집해 공격자의 Discord 서버로 전송한다. 이 외에도 악성 코드를 배포하는 경우도 존재했다.

 

Bleeping Computer는 "최근 Discord를 C&C로 활용하거나 수집 서버로 사용하는 경우가 많아졌다. 이런 합법적인 사이트를 서버로 사용하고 있어 탐지가 더 어려워지고 있는 추세다." 고 언급 했다.

 

출처

 

https://www.bleepingcomputer.com/news/security/new-ransomware-only-decrypts-victims-who-join-their-discord-server/

첨부파일 첨부파일이 없습니다.
태그 Hog 랜섬웨어