Cerber 랜섬웨어 또 다시 진화해, 비트코인 지갑 탈취

Cerber Ransomware Evolves Again, Now Steals From Bitcoin Wallets

Cerber 랜섬웨어는 가장 빠르게 진화하는 랜섬웨어 패밀리들 중 하나입니다. 

최근 Cerber 랜섬웨어는 가상화폐를 훔치는 루틴을 추가한 형태로 진화하였으며, 이로서 공격자들은 일석 이조의 효과를 누리게 되었습니다. 

하지만 Cerber의 일부분은 변경되지 않았으며, 여전히 이메일 첨부파일을 통해 유포되고 있습니다. 

Cerber랜섬웨어는 3개(Bitcoin Core 지갑, Electrum, Multibit)의 가상화폐 지갑 파일을 노립니다. 아래의 파일들을 훔치는 방식으로 작업을 수행합니다.

wallet.dat (Bitcoin)

*.wallet (Multibit)

electrum.dat (Electrum)

하지만 이 파일을 훔친다고 해서 저장 된 비트코인을 훔칠 수 있는 것은아니며, 공격자는 추가로 비트코인 지갑을 보호하는 패스워드가 필요합니다. 또한 Electrum은 2013년 말부터 electrum.dat 파일을 더 이상 사용하지 않습니다.

새로운 Cerber의 변종은 위의 정보들 이외에도, IE, 구글 크롬, 파이어폭스에 저장 된 패스워드들도 탈취하려 시도합니다. 이 정보들의 탈취는 파일 암호화가 이루어 지기 전 수행 됩니다.

저장 된 패스워드들과 비트코인 지갑 정보는 C&C 서버를 통해 공격자에게 보내 집니다. 또한 이들은 지갑 파일들을 서버로 보낸 후 삭제해 사용자에게 또 다른 피해를 입힙니다.

이 새로운 기능은 공격자들이 랜섬웨어를 통해 수익을 발생시킬 수 있는 새로운 방법을 시도하고 있다는 것을 보여줍니다. 타겟 사용자의 비트코인을 훔치는 것은 잠재적 수입으로 이어질 수 있기 때문입니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Cerber로 탐지중에 있습니다. 

출처 :

http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-ransomware-evolves-now-steals-bitcoin-wallets/