멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 해외 성인광고 서버를 통해 Fallout Exploit Kit이 유포 되어 최신 보안업데이트가 제대로 이루어지지 않은 PC에서 해당 웹사이트를 방문 할 시 “갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드”에 감염 될 수 있는 내용이 쓰렛인사이드(Threat Inside)를 통해 확인 되어 주의를 당부 드립니다.

[그림 1] 성인광고 페이지 이미지

 

이번에 발견 된 멀버타이징에 사용 된 Fallout Exploit Kit은 사용자의 브라우저 프로필을 검사하여 조건에 부합 할 경우 악성 콘텐츠로 연결하게 됩니다.

조건에 맞는 사용자에게는 302 리다이렉션을 통해 광고 페이지가 아닌 Fallout Exploit Kit 랜딩 페이지로 접속 합니다.

[그림 2] Fallout Exploit 접속 URI 이미지

Fallout Exploit Kit에 접근 한 사용자는 CVE-2018-8174(VBScript 엔진 원격 코드 실행) 취약점을 이용하여 갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드에 감염 될 수 있습니다.

[그림 3] Fallout Exploit Kit + CVE-2018-8174 코드 이미지

 

갠드크랩(GandCrab) v5.0.3 랜섬웨어에 대한 상세한 분석정보는 사이버위협 인텔리전스(CTI) 플랫폼인 쓰렛인사이드(Threat Inside)에서 확인이 가능합니다.

[그림 4] 쓰렛인사이드(Threat Inside)을 통해 분석 완료 된 갠드크랩 이미지

 

통합 백신 ‘알약’에서는 관련 악성코드를 Trojan.Ransom.GandCrab 으로 진단하고 있습니다.