상세 컨텐츠
본문
악성 헬프파일(CHM)과 함께 돌아온 Cryptowall
Cryptowall Makes a Comeback Via Malicious Help Files (CHM)
악명높은 Cryptowall 랜섬웨어를 퍼뜨리기 위한 악성 .chm 파일을 첨부한 새로운 스팸 메일이 급증하고 있습니다. Chm 파일은 Compiled HTML 파일 포맷의 확장자이며, 소프트웨어 프로그램과 함께 사용자에게 매뉴얼을 전달해주기 위해 사용되는 파일 타입입니다. HTML 파일은 압축되어 바이너리 파일 형태로 .chm 확장자로 전달됩니다. 이 포맷은 HTML 문서, 이미지, 자바스크립트 파일, 하이퍼링크를 포함한 목차, 텍스트 등을 압축하여 만들어졌습니다.
헬프 파일에 어떠한 점이 그렇게 위험한 것일까요?
CHM 파일은 매우 상호적이며, 자바 스크립트를 포함한 기술 중 하나입니다. 사용자는 단순히 CHM 파일을 오픈하는 것만으로 외부 URL로 리다이렉트될 수 있습니다. 공격자들은 CHM파일을 오픈함으로써 악성 페이로드를 실행하도록 이를 악용하고 있습니다.
아래와 같이 가짜 ‘팩스 수신 알림’ 이메일은 사용자의 장비로부터 온 것처럼 위장하고 있습니다.
.chm 압축파일의 내용에 접근하면, http://*********/putty.exe 로부터 악성코드가 다운로드 되며, 자신을 %temp%\natmasla2.exe로 저장하여 멀웨어를 실행합니다. 이 과정 중에 명령 프롬프트 창이 오픈됩니다.
Cryptowall은 Cryptolocker의 상위 버전으로, 악성 페이로드를 정상 파일이나 프로그램으로 위장하는 것으로 알려진 파일 암호화 랜섬웨어입니다. 이 페이로드는 복호화 키를 인질로 돈을 요구하기 위해 감염된 컴퓨터에 있는 파일을 암호화합니다.
이 이메일은 2월 18일쯤 급격히 증가하였고, 수 백 명의 사용자를 타겟으로 하고 있습니다. 이 스팸메일의 서버는 베트남, 인도, 호주, 미국, 루마니아, 스페인에 위치한 것으로 보입니다. 수신인의 도메인명을 분석해 본 결과, 공격자들은 미국, 유럽, 호주, 네덜란드, 덴마크, 스웨덴, 슬로바키아를 포함한 전 세계의 사용자들을 노리고 있는 것으로 나타났습니다.
출처: Hot for Security
* 해당 블로그 콘텐츠는 공식적으로 인용 허가를 받았습니다.
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] ‘킬러 USB’가 당신의 PC를 폭발시킬 수 있다? (0) | 2015.03.16 |
|---|---|
| [해외보안동향] ‘WordPress SEO by Yoast’ 플러그인 취약점, 수 백만 웹 사이트에 영향 미쳐 (0) | 2015.03.12 |
| [해외보안동향] Xiaomi Mi 4 휴대폰에 악성코드 선 탑재 및 커스텀 롬 탑재 의혹 (0) | 2015.03.09 |
| [해외보안동향] μTorrent, 비트코인 채굴 프로그램 은밀히 설치... 사용자 주의! (0) | 2015.03.09 |
| FREAK(cve-2015-0204) SSL 취약점 주의! (0) | 2015.03.06 |
댓글 영역