상세 컨텐츠

본문 제목

WinRAR ACE 익스플로잇 통해 배포되는 JNEC.a 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2019. 3. 19. 16:40

본문

JNEC.a Ransomware Spread by WinRAR Ace Exploit


새로운 랜섬웨어인 JNEC.a가 최근 보고된 WinRAR의 ACE에 존재하는 코드 실행 취약점 익스플로잇을 통해 배포되는 것으로 나타났습니다.


이 랜섬웨어는 컴퓨터를 암호화한 후 피해자가 랜섬머니를 지불하고 파일 복호화 키를 받는데 필요한 Gmail 주소를 생성하며, 피해자는 해당 Gmail 주소를 사용하여 계정을 생성해야 합니다.


이 랜섬웨어는 컴퓨터의 데이터를 암호화한 후 파일명에 .Jnec 확장자를 붙입니다. 복호화 키의 가격은 0.05 비트코인(약 $200)입니다.


흥미로운 점은, 이 랜섬웨어의 제작자는 파일 복호화 키를 전달하는데 특이한 방법을 사용한다는 것입니다. 


그 방법은 바로 랜섬웨어에 감염된 컴퓨터의 고유 ID 번호를 복호화 키 전달을 위한 Gmail 주소로 사용하는 것입니다.


이 Gmail 주소는 랜섬노트에 나타나며, 공격자가 계정을 생성한 것은 아닙니다. 피해자가 랜섬머니를 지불하고 파일을 복구하기로 한다면, 피해자가 직접 이 주소를 가지고 Gmail에 가입해야 합니다.

 

<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>


랜섬웨어 제작자는 그림과 같이 피해자에게 특정 Gmail 계정을 생성하라는 명확한 지침을 제공합니다. 


이는 랜섬웨어가 감염된 컴퓨터에 드랍하는 랜섬노트인 JNEC.README.TXT에서 확인 가능합니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>


Qihoo 360의 연구원들은 실제 공격에서 “vk_4221345.rar”라는 아카이브 파일을 발견했습니다. 


이 파일은 19년 동안 존재한 취약한 WinRAR을 통해 압축 해제할 경우 JNEC.a 파일을 드랍합니다.


JNEC.a는 .NET으로 작성되었으며 악성 아카이브의 내용을 압축 해제하기 시작합니다. 압축 해제된 후, 손상된 소녀의 이미지가 표시됩니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>


이 이미지로 인해 사용자들은 기술적 결함이 발생한 것이라고 생각할 수도 있습니다. 하지만, 랜섬웨어는 이미 시스템을 감염시킨 후입니다.


이 WinRAR 익스플로잇은 제작자가 악성코드를 윈도우 시작 폴더에 드랍하여, 다음 로그인 시 실행될 수 있도록 설정합니다.


악성코드의 존재를 숨기기 위해, 제작자는 이를 “GoogleUpdate.exe”로 이름 붙여 구글의 업데이트 프로세스인 것처럼 위장했습니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>


WinRAR 취약점을 악용하는 것은 어렵지 않습니다. 


이 결점에 대한 분석이 공개된 후, PoC 코드가 온라인에 공개되었으며, 임의의 페이로드가 포함된 악성 아카이브를 자동으로 생성하는 스크립트도 GitHub에서 발견되었습니다.


지난주, McAfee는 취약점이 공개된 후 1주일 동안 100건 이상의 공격을 확인하였으며, 공격 수는 계속 증가하는 중이라고 보고했습니다.


<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>


이 랜섬웨어의 비트코인 지갑에는 12건의 거래가 있었습니다. 하지만 가장 최근 거래는 2018년 10월로 아직까지 돈을 지불한 피해자는 없는 것으로 확인되었습니다.


현재 알약에서는 해당 악성코드에 대해 Exploit.CVE-2018-20250으로 탐지 중에 있습니다. 



출처:

https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/

저작자표시

'국내외 보안동향' 카테고리의 다른 글

구글 검색의 가짜 이베이(eBay) 광고, 기술 지원 사기로 이어져  (0) 2019.03.21
넷플릭스와 AMEX 고객들을 노린 피싱 캠페인 발견  (0) 2019.03.20
새로운 미라이(Mirai) 변종, 기업 장비들 노려  (0) 2019.03.19
패치된 WinRAR 버그, 아직도 실제 공격에 활발히 악용돼  (0) 2019.03.18
MS Office 365와 G Suite, IMAP 공격에 다단계 인증 우회돼  (0) 2019.03.15

관련글 더보기

댓글 영역

티스토리툴바