상세 컨텐츠
본문
안녕하세요
이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
공격자가 지속적으로 새로운 도메인을 등록하여 갠드크랩 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다.
[그림 1] 악성 메일
공격자가 이번에는 freehaksa.com 도메인을 이용하여 랜섬웨어를 유포하였습니다.
해당 공격자는 국내에 끊임없이 갠드크랩(GandCrab) 랜섬웨어를 유포하고 있는 자로서, 하루에도 몇번씩 새로운 도메인을 등록하여 공격을 진행하고 있습니다.
[그림 2] 공격자가 등록한 새로운 도메인들
확인 결과, 이번에 공격자가 사용한 freehaksa.com 도메인은 1월 25일날 등록된 도메인으로 확인되었으며, 이 공격자에 대해서는 국내 또 다른 보안업체인 안랩에서도 주의를 당부한 적이 있습니다.
이번에도 역시 기존과 유사하게 저작권 관련 이메일로 위장하여 피싱 메일을 유포하였으며, 피싱 메일에는 악성 파일이 포함되어 있는 .alz 파일이 첨부되어 있습니다.
[그림 3] doc 파일을 위장하고 있는 exe 파일
.alz 파일 내에는 doc 파일을 위장하고 있는 .exe 파일이 첨부되어 있으며, 사용자가 .exe 파일을 실행하면 갠드크랩(GandCrab) 랜섬웨어에 감염되게 됩니다.
[그림 4] 갠드크랩 랜섬웨어 랜섬노트
공격자가 끊임없이 새로운 도메인을 등록, 공격에 악용하는 만큼 사용자들의 각별한 주의가 필요합니다.
현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지중에 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (0) | 2019.02.12 |
|---|---|
| '긴급 통신!' 등의 제목으로 전파 중인 가짜 혹스(Hoax) 이메일 주의! (0) | 2019.02.08 |
| 갠드크랩(GandCrab) 랜섬웨어 제왕의 변천사 (0) | 2019.02.01 |
| 연예인 노출 영상으로 유혹하는 네이버 피싱 사이트 주의!! (0) | 2019.02.01 |
| 2018년 랜섬웨어 동향 및 특징 (0) | 2019.02.01 |
댓글 영역