포스팅 내용

악성코드 분석 리포트

[주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자



안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


작년 12월 말부터 한국의 여러 기관과 기업을 상대로 비너스락커(Venus Locker)와 오토크립터(Auto Cryptor) 랜섬웨어를 유포했던 공격자가 최근들어 또 다시 한국 맞춤형 스피어 피싱(Spear Phishing) 공격을 수행하고 있습니다.


이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있습니다.




공격자는 다양한 유형으로 악성파일을 유포 중이며, 기존과 마찬가지로 유창한 한국어를 구사하고, 알집 압축 프로그램을 사용하고 있습니다.



[그림 1] 악성 파일 유포 이메일 화면



이메일에 첨부된 압축 파일 내부에는 LNK 바로가기 파일과 EXE 실행파일이 포함되어 있습니다.



[그림 2] 압축 파일에 포함된 악성 파일 화면



이용자가 압축을 해제 후에 바로가기 파일이나 EXE 파일을 실행하면 악성 파일에 감염이 이루어지게 됩니다.


특히, 바로가기 파일은 기존 비너스락커 랜섬웨어 코드와 동일하게 제작된 것을 확인할 수 있으며, 다음과 같이 EXE 파일이 실행되도록 연결되어 있습니다.





악성파일이 작동되면 정상적인 프로세스에 자신을 은폐시킨 후 다음과 같이 모네로(Monero) 가상화폐 채굴 기능을 작동시킵니다.



"C:\Windows\System32\wuapp.exe" -o monerohash.com:3333 -u *생략* g -p x -v 0 -t 1



이와같이 기존 비너스락커 랜섬웨어 공격자가 가상화폐 공격방식으로 진화하고 있어 이용자들의 각별한 주의가 필요합니다.


알약에서는 Misc.Riskware.BitCoinMiner 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.



  1. 나비 2017.12.05 14:04 신고  수정/삭제  댓글쓰기

    이젠 가상화폐 채굴러까지.. 도움 많이 됐습니다.감사합니다.

  2. lTman01 2017.12.05 20:20 신고  수정/삭제  댓글쓰기

    저 개인 매일이라면 이메일 주소 가려주시면 좋을거 같습니다

    • 필명 2017.12.05 20:39 신고  수정/삭제

      해커(보낸이)가 만든 이메일이니 숨기는게
      아니라 수사하는데 활용해야죠

  3. lTman01 2017.12.05 20:40 신고  수정/삭제  댓글쓰기

    제 생각에는 경찰서에 가져다주는게 맡지 않나요?

    • 알약(Alyac) 2017.12.06 09:16 신고  수정/삭제

      안녕하세요 알약입니다.

      저희는 다양한 사이버 보안 위협 정보를 관계 기관과 공유하고 있습니다.

      앞으로도 사이버 범죄 예방을 위해 최선을 다하는 이스트시큐리티가 되겠습니다.

      감사합니다.

  4. 진영 2017.12.22 20:46 신고  수정/삭제  댓글쓰기

    샘플파일좀 구할수 없나요??? 분석해보고싶어서요. 참고로 아이티보안종사자입니다.

    • 알약(Alyac) 2017.12.26 10:15 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다. 보안 업체에서는 어떠한 목적이라도 개인에게 샘플 정보 및 파일을 제공해 드리지 않습니다. 요청해주신 부분은 제공해드리기 어려운 점 양해 부탁드립니다. 감사합니다.

티스토리 방명록 작성
name password homepage