|
[MalSpam] Win32/Ransomware.Lukitus (Dropbox Link) 침해사고분석팀 2017.09.01 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: Dropbox Link
메일 내용 - 제목: 이메일 확인 인증 - 내용: 가입이 완료되기 전에 이메일 주소를 확인하시길 바랍니다.
[그림 1] 스팸메일 원본 (myonlinesecurity)
메일 내 링크를 클릭하면 지정된 C2로 이동하게 됩니다. 해당 C2에서는 폰트 다운로드를 위장한 JS Download가 실행하게 됩니다.
1차 C2 hxxp://jakuboweb[.]com/dropbox.html
2차 C2 hxxp://gclubrace[.]info/json.php / hxxp://dippydado[.]net/json.php
[그림 2] Font Downloader로 위장한 Dropbox Link
Update 버튼을 킬릭하면 폰트가 아닌 Ransomware 다운로드 하는 JS를 다운로드 하게 됩니다.
[그림 3] JS Downloader C2
[첨부파일] Likitus Ransomware Downloader 행위: Likitus Ransomware Downloader
파일 이름: Win.JSFontlib09
확장자: .JS
파일 크기: 14,711 bytes
C2: hxxp://geocean[.]co.id/657erikftgvb??pGDIWEKDHD=pGDIWEKDHD
SHA256: decd71ae3b5e683f0c3d057ac0576cbd624ca10734e1984f15cb77fcd23c4a37
다운로드 한 랜섬웨어 다운로더(.JS)를 실행시키면 지정된 C2에서 악성코드를 다운로드 합니다. * 신뢰하지 못하는 메일의 첨부파일 / 링크는 다운로드 및 실행을 하지 마세요.
[그림 4] C2 서버에서 랜섬웨어 다운로드
[Payload] Lukitus Ransomware 행위: Ransomware
파일 이름: pGDIWEKDHD2
확장자: .exe
파일 크기: 616,960 bytes
SHA256: 19865bb16f4609b4703eaba1d773d60a85009b715274ad862ca4cbb5772c621a
실행 이후 부주의한 한 번의 클릭으로 여러분의 소중한 자료는 인질로 잡히게 됩니다. 스크립트 실행을 제외한 모든 행위는 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[그림 5] 바탕화면 랜섬노트
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일 / 링크는 다운로드 및 클릭하지 않는다. 2) 중요 자료는 백업을 하여 자료를 보호한다.
[그림 6] Wins APTX(Lukitus Ransomware)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/ [그림 1] https://myonlinesecurity.co.uk/fake-santander-bank-important-new-account-documents-delivers-trickbot-banking-trojan/ |
