Dharma 랜섬웨어, 피해자의 주의를 돌리기 위해 정식 안티바이러스 툴 사용

Dharma Ransomware Uses Legit Antivirus Tool To Distract Victims

새로운 Dharma 랜섬웨어 변종이 ESET의 AV Remover를 '연막'으로 사용해 피해자들의 주의를 돌리고, 백그라운드에서 파일을 암호화하는 것으로 나타났습니다.

이 랜섬웨어는 스팸 메일을 통해 타깃 컴퓨터로 전달되며, 스팸 메일에는 Dharma 드롭퍼 바이너리를 포함한 패스워드로 보호된 자동 압축 해제 아카이브인 Defender.exe를 첨부하고 있습니다. 

이 악성 파일은 해킹된 서버 link[.]fivetier[.]com에서 호스팅됩니다.

 

[그림 1] Dharma 감염 체인

<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/>

악성 파일의 패스워드는 스팸 메일에 포함되어 있으며, 호기심 많은 피해자가 자신의 시스템에서 Dharma에 감염된 실행 파일을 해제하도록 유인하기 위한 기술입니다.

[그림 2] Dharma를 배포하는 스팸 메일 화면

<이미지 출처: https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/>

이메일 내용은 아래와 같습니다.

Your Windows is temporarily at risk ! 

Our system has detected several unusual data from your Pc. 

It's corrupted by the DISPLAY SYSTEM 37.2%.

All of your information is at risk , this can damage the system files, data,

applications, or even cause data leaks etc.

Please update and verify your antivirus down below :

Password: www.microsoft.com

Download

Defender.exe가 실행되면, 구 버전의 ESET AV Remover 인스톨러, Defender_nt32_enu.exe와 taskhost.exe Dharma 바이너리를 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ 경로에 드롭하고 실행 후 피해자의 하드 드라이브를 암호화합니다.

[그림 3] 자동 압축 해제 아카이브 및 압축 해제 프로세스

<이미지 출처: https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/>

자동 압축 해제 아카이브가 실행된 후, Dharma 랜섬웨어가 백그라운드에서 하드웨어 파일을 암호화합니다.

그리고 파일이 암호화되는 동안 ESET AV Remover 인스톨러가 자동으로 실행되어 피해자들의 주의를 끕니다.

[그림 4] ESET AV Remover 설치 화면

<이미지 출처: https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/>

테스트 결과, 암호화된 파일 뒤에 .ETH 확장자를 붙이는 Dharma 변종이 설치된 것으로 나타났습니다.

 

[그림 5] Dharma로 암호화된 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/>

랜섬노트에는 랜섬웨어 개발자의 이메일 주소인 Enigma1crypt@aol.com로 연락하라는 문구가 적혀 있습니다.

[그림 6] Dharma 랜섬노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/>

트렌드 마이크로는 변종 Dharma 랜섬웨어가 ESET AV Remover 설치와 다른 인스턴스에서 실행되기 때문에 서로 관련이 없다고 밝혔습니다.

따라서 ESET AV Remover 설치가 실행되지 않더라도 랜섬웨어가 실행되며, 랜섬웨어가 실행되지 않더라도 툴이 설치될 수 있습니다.

전문가는 설치 프로세스는 단지 피해자들이 악성 행위가 실행 중이라는 사실을 감추기 위한 속임수라고 전했습니다.

이에 대해 ESET 측에서는 이러한 공격 방식은 다른 프로그램도 사용될 수 있으며, 랜섬웨어가 완전히 실행되기 전에는 삭제할 기회가 없다고 밝혔습니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Crysis으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/dharma-ransomware-uses-legit-antivirus-tool-to-distract-victims/

https://blog.trendmicro.com/trendlabs-security-intelligence/dharma-ransomware-uses-av-tool-to-distract-from-malicious-activities/