Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향대규모 악성코드 캠페인은 Fake 랜섬웨어를 유포하기 시작했다
작성일 2021-05-21 조회 5484

대규모 악성코드 캠페인에서 공격자들은 데이터를 탈취, 허위로 파일을 암호화하는 기능을 가진 STRRAT을 유포하기 시작했다. 마이크로소프트 보안 연구팀은 이번 대규모 피싱 메일 캠페인이 어떻게 악성코드를 퍼뜨리는지 설명했다.

 

스펨 메일은 수신자들에게 전달되며 첨부된 파일을 열람하라는 내용이 담겨있다. 파일은 PDF 문서처럼 보이고 있으나 실제로는 RAT 악성코드를 다운로드하는 위장된 파일이다. 마이크로소프트는 "해당 RAT은 여러 파일의 확장자를 .crimson 로 교체해 암호화 된 것처럼 보이지만, 실제로는 암호화를 수행하지 않는다."고 언급했다. 공격자들은 STRRAT을 통해서 랜섬웨어 공격을 하는 것처럼 보이게 만들고 실제로는 데이터를 도난하는 기능을 수행하게 된다.

 


[그림1. 피싱 메일]

 

 

 

GDATA 악성코드 분석가인 Karsten Hahn은 "악성코드는 두 단계의 VB스크립트를 거친 후 최종적으로 STRRAT을 받아와 피해자의 PC를 감염시킨다. STRRAT은 Java 기반으로 만들어진 악성코드며 각종 브라우저, Thunderbird를 포함한 전자메일 클라이언트의 정보탈취 및 원격으로 코드들을 실행할 수 있다. 또한, 오픈소스인 RDPWrap 을 사용해 감염된 PC의 원격 기능을 강제로 오픈시킬 수 있다." 고 밝혔다.

 


[그림2. STRRAT 감염 체인]

 

 

 

GDATA는 "STRRAT이 .crimson 확장자만을 바꾸기 때문에 파일 내용에 대한 접근을 막지는 않는다. 하지만 일부 희생자들은 몸값을 지불해야한다는 공격자의 협박에 넘어갈 수 있다."며 당황하지 않고 확장자만 복구시켜 주면 파일을 본래 목적으로 사용할 수 있다고 조언했다.

 

마이크로소프트는 "지난 주 대규모 STRRAT 캠페인을 분석한 결과 이들의 피싱 캠페인은 지속적으로 발전하고 있으며 복잡한 난독화, 모듈형 아키텍쳐 확장을 적용해 나가고 있다." 고 밝혔으며 의심스러운 메일을 받았을 경우 첨부파일의 실행에 주의를 요구했다.

 

출처:

 

https://www.bleepingcomputer.com/news/microsoft/microsoft-massive-malware-campaign-delivers-fake-ransomware/

첨부파일 첨부파일이 없습니다.
태그   Fake 랜섬웨어  FireFox