1. [기사] Thanatos 랜섬웨어, 랜섬 비용으로 Bitcoin Cash 최초 사용
[https://www.bleepingcomputer.com/news/security/thanatos-ransomware-is-first-to-use-bitcoin-cash-messes-up-encryption/]
Thanatos 랜섬웨어는 Bitcoin Cash를 랜섬 비용 지불 방법으로 채택한 첫 랜섬웨어입니다. Bitcoin Cash는 비트코인에서 분리된 새로운 암호 화폐입니다. Thanatos 랜섬웨어가 컴퓨터를 암호화하면 암호화된 모든 파일에 대해 새 암호화 키가 생성됩니다. 불행하게도 이러한 암호화 키는 어디에도 저장되지 않으므로 연구원에 따르면 랜섬 비용 지불이 이루어지더라도 개발자가 파일을 해독할 수 없습니다. 파일을 암호화할 때 .THANATOS 확장자를 암호화된 파일 이름에 추가합니다. 예를 들어, test.jpg라는 파일은 암호화되어 test.jpg.THANATOS로 이름이 바뀝니다. 암호화 과정이 끝나면 감염된 희생자의 양을 추적하기 위해 iplogger.com/1t3i37 URL에 연결됩니다. 마지막으로, 사용자가 로그인 할 때마다 README.txt 랜섬 노트를 여는 "Microsoft Update System Web-Helper"라고 불리는 자동 실행 키를 생성합니다. 이 랜섬 노트에는 나열된 Bitcoin, Ethereum, Bitcoin Cash 주소 중 하나에 $200 USD 랜섬 비용을 보내라는 지침이 들어있습니다.
2. [기사] 가상화폐 지갑 및 브라우저 계정정보 탈취시도 악성코드 유포돼...주의
[http://www.dailysecu.com/?mod=news&act=articleView&idxno=30677]
최근 해외 사용자 PC에서 가상 화폐 지갑 정보와 다양한 브라우저 로그인 정보를 유출하는 악성코드가 유포되고 있어 국내 이용자들도 각별한 주의가 요구됩니다. 이 악성코드는 사용자 PC에 있는 비트코인을 포함 라이트코인, 이더리움, 모네로, 스팀 등 총 9종의 가상 화폐를 확인합니다. 그 외에도 사용자의 브라우저를 확인해 시스템 상에 저장된 로그인 아이디·패스워드 정보와 쿠키 정보도 탈취합니다. 이렇게 유출된 정보는 추후 또 다른 보안 위협에 노출될 가능성이 커 각별한 주의가 필요합니다. 또한 사용자들이 바탕화면에 중요한 정보를 문서 파일 형태로 저장해 둔다는 점을 악용해 문서들 중 확장자가 'doc', 'docx', 'txt', 'log'일 경우도 C&C 서버(104.27.185.76-미국)에 전송을 시도합니다. C&C 서버에 전송하는 정보 목록은 다음과 같습니다. △브라우저의 로그인 ID/PW △시스템 O/S정보, Hardware ID, 사용자 계정 △Filezilla 접속IP, ID, PW △바탕화면 캡쳐 △바탕화면 문서들 중 확장자 doc, docx, txt, log 파일들
3. [기사] uTorrent 소프트웨어의 취약점으로 해커가 PC 원격 제어 가능
[https://thehackernews.com/2018/02/torrent-download-software.html]
'Windows 용 uTorrent 데스크톱 앱'과 새로 출시된 'uTorrent Web'모두에서 심각한 원격 코드 실행 취약점이 발견되었습니다. Project Zero 연구원 Tavis Ormandy는 RPC 서버와 관련된 몇 가지 문제로 인해 원격 공격자가 사용자 상호 작용이 거의 없는 토렌트 다운로드 소프트웨어를 제어할 수 있음을 발견했습니다. Ormandy에 따르면 uTorrent 응용 프로그램은 "도메인 이름 시스템 리바인딩"이라는 해킹 기술에 취약하여 사용자가 방문한 모든 악성 웹사이트가 사용자의 컴퓨터에서 악의적인 코드를 원격으로 실행할 수 있게 합니다. DNS 리바인딩 공격을 실행하려면 취약한 uTorrent 응용 프로그램을 실행하는 컴퓨터의 로컬 IP 주소로 확인되는 DNS 이름으로 악성 웹사이트를 만들면 됩니다. 이 취약점은 다음과 같은 릴리즈로 처리되었으며, [△uTorrent Stable 3.5.3.44358 △BitTorrent Stable 7.10.3.44359 △uTorrent Beta 3.5.3.44352 △uTorrent Web 0.12.0.502] 모든 사용자는 즉시 소프트웨어를 업데이트해야 합니다.
4. [기사] 광고 네트워크, 광고 차단기 우회 및 브라우저 내부 마이너 배치 위해 DGA 알고리즘 사용
[https://www.bleepingcomputer.com/news/security/ad-network-uses-dga-algorithm-to-bypass-ad-blockers-and-deploy-in-browser-miners/]
DGA.popad로 불리는 광고 네트워크는 악성코드 제품군에서 일반적으로 사용하는 트릭, 즉 도메인 생성 알고리즘(DGA)을 사용합니다. DGA를 사용하여 감염된 호스트가 주 명령 및 제어(C&C) 서버에서 새로운 명령을 수신하기 위해 연결하는 고유한 도메인 이름을 생성합니다. 악성 코드의 작성자만 DGA 알고리즘이 작동하는 방식을 알고 있으며 도메인을 미리 등록하고 있기 때문에 악성코드가 어느 시점에 연결될 것이라는 것을 알기 때문에 매우 효율적입니다. GA.popad는 DGA를 사용하여 정기적으로 새 도메인을 생성합니다. 이 도메인의 목적은 네트워크의 광고를 보는 사용자가 광고 차단기를 사용하는 경우 백업으로 사용됩니다. 즉, 광고 네트워크에는 광고 차단 목록에 아직 블랙리스트에 올라있지 않은 새로운 도메인이 있습니다. DGA.popad는 DGA를 사용하여 광고 차단기를 우회하는 첫 번째 광고 네트워크라고 말할 수는 있지만 광고 차단기를 발견한 첫 범죄 행위는 아닙니다.
5. [기사] 페이스북은 스파이웨어 제조사? FTC도 VPN 관련 경고
[http://www.boannews.com/media/view.asp?idx=67074&page=1&mkind=1&kind=1]
미국의 연방거래위원회(FTC)가 VPN 앱을 구매해서 사용하기 전에 반드시 설명서를 꼼꼼히 읽어봐야 한다고 경고했습니다. VPN 앱을 통한 해킹 공격에 피해를 당할 경우 소비자에게도 책임이 있을 수 있다는 뜻입니다. 소비자 보호 단체 역할을 하는 연방거래위원회가 이런 발표를 하는 것은 흔치 않은 입니다. FTC가 이러한 발표를 한 것은 300개의 VPN 앱을 분석하고 나서입니다. 대부분의 앱에서 암호화 기술을 찾을 수 없었고, 민감한 정보나 쓸데없이 높은 권한을 요구하고 있다는 것 때문이었습니다. 심지어 서드파티에 사용자의 민감한 정보를 판매하는 업체도 있었다고 합니다. VPN은 익명성을 강하게 보장받기 위해 소비자들이 찾는 앱이지만 앱의 권한을 높이 올리게 되면 개인정보가 범죄자들의 손에 넘어갈 수 있게 됩니다. 또한 애초에 VPN 앱을 사용한다고 해서 이용자가 완벽한 익명성을 보장받는 건 아니라는 걸 이해할 수 있어야 한다고 FTC는 지적했습니다.
