포켓몬 GO의 인기를 악용하는 랜섬웨어 DetoxCrypto 발견

포켓몬 GO의 인기를 악용하는 랜섬웨어 DetoxCrypto 발견

DetoxCrypto: Another Ransomware Riding the Pokemon GO Popularity Wave

새로운 랜섬웨어 변종 DetoxCrypto이 발견되었습니다. 현재 두 개의 버전이 발견되었지만, 앞으로 관련 변종이 추가적으로 발견될 것으로 보입니다.

MalwareHunterTeam에서는 사용자 데스크탑의 배경화면으로 포켓몬 이미지를 사용하는 첫 번째 버전의 랜섬웨어를 발견했습니다. 이후 발견된 DetoxCrypto의 두 번째 버전은 일반적인 랜섬웨어 감염 알림창을 사용했으며, 첫 실행 시 사용자 데스크탑의 스크린샷을 찍을 수 있는 기능이 추가되었습니다. Intel Security의 연구원인 Marc Rivero Lopez가 해당 버전을 우연히 발견한 것으로 알려졌습니다.

Lawrence Abrams의 분석에 따르면, 이 랜섬웨어의 두 버전은 매우 유사합니다.

공격자는 EXE 파일을 이용해 피해자를 감염시킵니다. 해당 EXE 파일은 사용자 데스크탑에 사용되는 배경화면 이미지, 랜섬웨어 감염 알림창이 표시될 때 실행되는 배경 음악용 오디오파일, 파일 암호화 프로세스를 실행하는 MicrosoftHost.exe파일, 별도 창을 통해 랜섬웨어 감염 사실을 보여주는 Calipso.exe 또는 Pokemon.exe 파일을 포함하고 있습니다.

이 랜섬웨어는 피해자에게 랜섬머니 지불을 위해 Tor기반의 웹사이트를 사용하라는 요구 대신, 이메일을 통해 랜섬웨어 제작자에게 연락하라고 지시합니다. 이에 대해서는 두 개의 다른 이메일 주소가 사용되었습니다.

한편, DetoxCrypto의 존재를 설명할 수 있는 두 가지 이론이 대두되고 있습니다. 첫 번째는 랜섬웨어의 제작자가 새 기능을 추가하여 새로운 버전의 악성코드를 공개했다는 것입니다. 그러나 두 개 버전이 매우 다른 운영 모드를 사용하고 있으므로, 해당 이론은 가능성이 거의 없다고 볼 수 있습니다. 

두 번째 이론은 새로운 RaaS(Ransomware-as-a-service)가 오픈되었다는 것입니다. 이를 통해서 두 개의 버전이 어떻게 많은 부분의 내부 코드를 공유하는 동시에 매우 다른 운영 모드를 사용하는지 설명할 수 있습니다.

MalwareHunterTeam에 따르면, 해당 랜섬웨어는 아직 개발되고 있는 중인 것으로 보이며, 아직까지 사용자들에게 배포하는데에 사용되는 기법은 발견되지 않았습니다.

Lawrence Abrams는 영상을 통해 두 가지 DetoxCrypto 랜섬웨어의 버전을 비교했습니다.

<이미지 출처 : http://news.softpedia.com/news/detoxcrypto-another-ransomware-riding-the-pokemon-go-popularity-wave-507501.shtml>

▶ Pokemon 버전 자세히 보기 

 

<이미지 출처 : http://news.softpedia.com/news/detoxcrypto-another-ransomware-riding-the-pokemon-go-popularity-wave-507501.shtml>

▶ Calipso 버전 자세히 보기

 

출처 :

http://news.softpedia.com/news/detoxcrypto-another-ransomware-riding-the-pokemon-go-popularity-wave-507501.shtml

http://www.bleepingcomputer.com/news/security/new-detoxcrypto-ransomware-pretends-to-be-pokemongo-or-uploads-a-picture-of-your-screen/