이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있다.
공격자는 다양한 유형으로 악성파일을 유포 중이며 기존과 마찬가지로 유창한 한국어를 구사하고 알집 압축 프로그램을 사용하고 있다.
이메일에 첨부된 압축 파일 내부에는 LNK 바로가기 파일과 EXE 실행파일이 포함되어 있다. 이용자가 압축을 해제 후에 바로가기 파일이나 EXE 파일을 실행하면 악성 파일에 감염이 이루어진다. 특히 바로가기 파일은 기존 비너스락커 랜섬웨어 코드와 동일하게 제작된 것을 확인할 수 있다.
악성파일이 작동되면 정상적인 프로세스에 자신을 은폐시킨 후 모네로(Monero) 가상화폐 채굴 기능을 작동시킨다.
"C:WindowsSystem32wuapp.exe" -o monerohash.com:3333 -u (생략) g -p x -v 0 -t 1
이스트시큐리티 관계자는 “기존 비너스락커 랜섬웨어 공격자가 가상화폐 공격방식으로 진화하고 있어 이용자들의 각별한 주의가 필요하다”며 “알약에서는 Misc.Riskware.BitCoinMiner 탐지명 등으로 추가된 상태”라고 전했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지