포스팅 내용

국내외 보안동향

STOP 랜섬웨어, 피해자 기기에 패스워드 탈취 트로이목마 설치

STOP Ransomware Installing Password Stealing Trojans on Victims


STOP 랜섬웨어 패밀리가 피해자의 파일을 암호화하는 것 외에도 피해자의 계정 인증정보, 가상 화폐 지갑, 데스크탑 파일 등을 훔치기 위해 Azorult 패스워드 탈취 트로이목마를 설치하기 시작한 것으로 나타났습니다.


Azorult 트로이목마는 브라우저 및 파일에 저장된 계정, 패스워드, 가상 화폐 지갑, 스팀 크리덴셜, 브라우저 히스토리, 스카이프 메시지 등을 훔치는 역할을 합니다. 훔친 정보는 공격자가 제어하는 원격 서버로 업로드됩니다.


STOP 랜섬웨어의 DJVU 변종은 지난 1월 가짜 소프트웨어 크랙을 통해 배포되었습니다. 당시 이 악성코드가 실행될 때 피해자의 컴퓨터에서 여러 작업을 하는 다양한 컴포넌트를 다운로드 및 실행하였습니다. 



이 작업에는 가짜 윈도우 화면을 표시하는 것, 윈도우 디펜더를 비활성화하는 것, 그리고 윈도우의 hosts 파일을 수정해 보안 사이트에 접속할 수 없도록 차단하는 것 등이 포함되었습니다.


[가짜 윈도우 업데이트 화면]

<이미지 출처: https://www.bleepingcomputer.com/news/security/stop-ransomware-installing-password-stealing-trojans-on-victims/>


랜섬웨어 연구원인 Michael Gillespie는 최근 발견된 변종들을 테스트하던 중, Any.Run 설치에서 랜섬웨어가 생성한 트래픽을 통해 다운로드한 파일들 중 하나가 Azorult 감염으로 인한 것임을 발견했습니다. 


또한 그는 4개의 서로 다른 샘플들에서 Azorult와 관련된 네트워크 트래픽을 찾을 수 있었다고 언급했습니다.


[Any.Run 설치에서 발견된 Azorult 네트워크 트래픽]

<이미지 출처: https://app.any.run/tasks/5ba4be48-c19f-4fd6-bed2-23d58664dd8f>


Bleeping Computer은 Azorult가 설치되는지 확인하기 위해 STOP Promorad 랜섬웨어 변종 샘플을 다운로드 및 설치하였습니다. 이 랜섬웨어를 실행하면 파일 다운로드를 하고 컴퓨터의 데이터를 암호화하였습니다. 


네트워크 트래픽 리스트

http://ymad.ug/tesptc/ck/updatewin1.exe

http://ymad.ug/tesptc/ck/updatewin2.exe

http://ymad.ug/tesptc/ck/updatewin.exe

http://ymad.ug/tesptc/ck/3.exe

http://ymad.ug/tesptc/ck/4.exe

http://ymad.ug/tesptc/ck/5.exe

http://ymad.ug/1/index.php


또한, 이 특정 변종은 파일을 암호화할 때 .promorad 확장자를 붙이고 _readme.txt라는 이름의 랜섬노트를 생성했습니다.


랜섬노트 내용

ATTENTION!


Don't worry my friend, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.

The only method of recovering files is to purchase decrypt tool and unique key for you.

This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.

But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-ll0rIToOhf

Price of private key and decrypt software is $980.

Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" folder if you don't get answer more than 6 hours.



To get this software you need write on our e-mail:

blower@india.com


Reserve e-mail address to contact us:

blower@firemail.cc


Your personal ID:

[id]


[암호화된 Promorad 파일들]

<이미지 출처: https://www.bleepingcomputer.com/news/security/stop-ransomware-installing-password-stealing-trojans-on-victims/>


테스트한 Promorad 랜섬웨어 변종 샘플은 5.exe 파일을 다운로드하여 실행했습니다. 이 프로그램은 정보 탈취를 위한 Azorult 트로이목마의 C&C 서버 통신으로 알려진 네트워크 트래픽을 생성합니다.


[Azorult 네트워크 통신]

<이미지 출처: https://www.bleepingcomputer.com/news/security/stop-ransomware-installing-password-stealing-trojans-on-victims/>


STOP 랜섬웨어의 변종에 감염된 피해자는 온라인 계정들의 패스워드, 특히 브라우저에 저장된 패스워드를 즉시 변경하는 것이 좋겠습니다. 또한 스카이프, 스팀, 텔레그램 및 FTP 클라이언트와 같은 소프트웨어의 비밀번호도 변경해야 합니다. 


그리고 데스크탑에 저장된 파일이 공격자의 손에 넘어갔을 수 있으므로, 해당 파일에 개인 정보가 있는지도 확인해보아야 할 것입니다.


지금까지 발견된 STOP 랜섬웨어의 확장자는 아래와 같습니다.

.blower, .djvu, .infowait, .promok, .promorad2, .promos, .promoz, .puma, .rumba, .tro


현재 알약에서는 해당 랜섬웨어들에 대하여 Trojan.Agent.CoinStealer, Trojan.Ransom.Stop으로 탐지중에 있습니다. 




출처:

https://www.bleepingcomputer.com/news/security/stop-ransomware-installing-password-stealing-trojans-on-victims/

티스토리 방명록 작성
name password homepage