2024-03-29 17:40 (금)
[주의] 한국어 유창한 비너스락커 랜섬웨어 제작자…가상화폐 채굴 공격자로 변신
상태바
[주의] 한국어 유창한 비너스락커 랜섬웨어 제작자…가상화폐 채굴 공격자로 변신
  • 길민권 기자
  • 승인 2017.12.05 14:12
이 기사를 공유합니다

▲ 압축 파일에 포함된 악성 파일 화면. 이스트시큐리티 제공.
▲ 압축 파일에 포함된 악성 파일 화면. 이스트시큐리티 제공.
작년 12월 말부터 한국의 여러 기관과 기업을 상대로 비너스락커(Venus Locker)와 오토크립터(Auto Cryptor) 랜섬웨어를 유포했던 공격자가 최근들어 또 다시 한국 맞춤형 스피어 피싱(Spear Phishing) 공격을 수행하고 있는 것으로 확인됐다.

이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있다.

공격자는 다양한 유형으로 악성파일을 유포 중이며 기존과 마찬가지로 유창한 한국어를 구사하고 알집 압축 프로그램을 사용하고 있다.

이메일에 첨부된 압축 파일 내부에는 LNK 바로가기 파일과 EXE 실행파일이 포함되어 있다. 이용자가 압축을 해제 후에 바로가기 파일이나 EXE 파일을 실행하면 악성 파일에 감염이 이루어진다. 특히 바로가기 파일은 기존 비너스락커 랜섬웨어 코드와 동일하게 제작된 것을 확인할 수 있다.

악성파일이 작동되면 정상적인 프로세스에 자신을 은폐시킨 후 모네로(Monero) 가상화폐 채굴 기능을 작동시킨다.

"C:WindowsSystem32wuapp.exe" -o monerohash.com:3333 -u (생략) g -p x -v 0 -t 1

이스트시큐리티 관계자는 “기존 비너스락커 랜섬웨어 공격자가 가상화폐 공격방식으로 진화하고 있어 이용자들의 각별한 주의가 필요하다”며 “알약에서는 Misc.Riskware.BitCoinMiner 탐지명 등으로 추가된 상태”라고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★