[주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

작년 12월 말부터 한국의 여러 기관과 기업을 상대로 비너스락커(Venus Locker)와 오토크립터(Auto Cryptor) 랜섬웨어를 유포했던 공격자가 최근들어 또 다시 한국 맞춤형 스피어 피싱(Spear Phishing) 공격을 수행하고 있습니다.

이번 공격에는 기존 랜섬웨어 유포 방식이 아닌 가상화폐 채굴(마이닝) 기능을 가진 악성파일을 배포하고 있습니다.

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

공격자는 다양한 유형으로 악성파일을 유포 중이며, 기존과 마찬가지로 유창한 한국어를 구사하고, 알집 압축 프로그램을 사용하고 있습니다.

[그림 1] 악성 파일 유포 이메일 화면

이메일에 첨부된 압축 파일 내부에는 LNK 바로가기 파일과 EXE 실행파일이 포함되어 있습니다.

[그림 2] 압축 파일에 포함된 악성 파일 화면

이용자가 압축을 해제 후에 바로가기 파일이나 EXE 파일을 실행하면 악성 파일에 감염이 이루어지게 됩니다.

특히, 바로가기 파일은 기존 비너스락커 랜섬웨어 코드와 동일하게 제작된 것을 확인할 수 있으며, 다음과 같이 EXE 파일이 실행되도록 연결되어 있습니다.

악성파일이 작동되면 정상적인 프로세스에 자신을 은폐시킨 후 다음과 같이 모네로(Monero) 가상화폐 채굴 기능을 작동시킵니다.

"C:\Windows\System32\wuapp.exe" -o monerohash.com:3333 -u *생략* g -p x -v 0 -t 1

이와같이 기존 비너스락커 랜섬웨어 공격자가 가상화폐 공격방식으로 진화하고 있어 이용자들의 각별한 주의가 필요합니다.

알약에서는 Misc.Riskware.BitCoinMiner 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있습니다.