JNEC.a Ransomware Spread by WinRAR Ace Exploit
새로운 랜섬웨어인 JNEC.a가 최근 보고된 WinRAR의 ACE에 존재하는 코드 실행 취약점 익스플로잇을 통해 배포되는 것으로 나타났습니다.
이 랜섬웨어는 컴퓨터를 암호화한 후 피해자가 랜섬머니를 지불하고 파일 복호화 키를 받는데 필요한 Gmail 주소를 생성하며, 피해자는 해당 Gmail 주소를 사용하여 계정을 생성해야 합니다.
이 랜섬웨어는 컴퓨터의 데이터를 암호화한 후 파일명에 .Jnec 확장자를 붙입니다. 복호화 키의 가격은 0.05 비트코인(약 $200)입니다.
흥미로운 점은, 이 랜섬웨어의 제작자는 파일 복호화 키를 전달하는데 특이한 방법을 사용한다는 것입니다.
그 방법은 바로 랜섬웨어에 감염된 컴퓨터의 고유 ID 번호를 복호화 키 전달을 위한 Gmail 주소로 사용하는 것입니다.
이 Gmail 주소는 랜섬노트에 나타나며, 공격자가 계정을 생성한 것은 아닙니다. 피해자가 랜섬머니를 지불하고 파일을 복구하기로 한다면, 피해자가 직접 이 주소를 가지고 Gmail에 가입해야 합니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>
랜섬웨어 제작자는 그림과 같이 피해자에게 특정 Gmail 계정을 생성하라는 명확한 지침을 제공합니다.
이는 랜섬웨어가 감염된 컴퓨터에 드랍하는 랜섬노트인 JNEC.README.TXT에서 확인 가능합니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>
Qihoo 360의 연구원들은 실제 공격에서 “vk_4221345.rar”라는 아카이브 파일을 발견했습니다.
이 파일은 19년 동안 존재한 취약한 WinRAR을 통해 압축 해제할 경우 JNEC.a 파일을 드랍합니다.
JNEC.a는 .NET으로 작성되었으며 악성 아카이브의 내용을 압축 해제하기 시작합니다. 압축 해제된 후, 손상된 소녀의 이미지가 표시됩니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>
이 이미지로 인해 사용자들은 기술적 결함이 발생한 것이라고 생각할 수도 있습니다. 하지만, 랜섬웨어는 이미 시스템을 감염시킨 후입니다.
이 WinRAR 익스플로잇은 제작자가 악성코드를 윈도우 시작 폴더에 드랍하여, 다음 로그인 시 실행될 수 있도록 설정합니다.
악성코드의 존재를 숨기기 위해, 제작자는 이를 “GoogleUpdate.exe”로 이름 붙여 구글의 업데이트 프로세스인 것처럼 위장했습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>
WinRAR 취약점을 악용하는 것은 어렵지 않습니다.
이 결점에 대한 분석이 공개된 후, PoC 코드가 온라인에 공개되었으며, 임의의 페이로드가 포함된 악성 아카이브를 자동으로 생성하는 스크립트도 GitHub에서 발견되었습니다.
지난주, McAfee는 취약점이 공개된 후 1주일 동안 100건 이상의 공격을 확인하였으며, 공격 수는 계속 증가하는 중이라고 보고했습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/>
이 랜섬웨어의 비트코인 지갑에는 12건의 거래가 있었습니다. 하지만 가장 최근 거래는 2018년 10월로 아직까지 돈을 지불한 피해자는 없는 것으로 확인되었습니다.
현재 알약에서는 해당 악성코드에 대해 Exploit.CVE-2018-20250으로 탐지 중에 있습니다.
출처:
https://www.bleepingcomputer.com/news/security/jneca-ransomware-spread-by-winrar-ace-exploit/
구글 검색의 가짜 이베이(eBay) 광고, 기술 지원 사기로 이어져 (0) | 2019.03.21 |
---|---|
넷플릭스와 AMEX 고객들을 노린 피싱 캠페인 발견 (0) | 2019.03.20 |
새로운 미라이(Mirai) 변종, 기업 장비들 노려 (0) | 2019.03.19 |
패치된 WinRAR 버그, 아직도 실제 공격에 활발히 악용돼 (0) | 2019.03.18 |
MS Office 365와 G Suite, IMAP 공격에 다단계 인증 우회돼 (0) | 2019.03.15 |
댓글 영역