상세 컨텐츠

본문 제목

[해외보안동향] 악성 헬프파일(CHM)과 함께 돌아온 Cryptowall

국내외 보안동향

by 알약(Alyac) 2015. 3. 10. 13:51

본문

악성 헬프파일(CHM)과 함께 돌아온 Cryptowall

Cryptowall Makes a Comeback Via Malicious Help Files (CHM)


악명높은 Cryptowall 랜섬웨어를 퍼뜨리기 위한 악성 .chm 파일을 첨부한 새로운 스팸 메일이 급증하고 있습니다. Chm 파일은 Compiled HTML 파일 포맷의 확장자이며, 소프트웨어 프로그램과 함께 사용자에게 매뉴얼을 전달해주기 위해 사용되는 파일 타입입니다. HTML 파일은 압축되어 바이너리 파일 형태로 .chm 확장자로 전달됩니다. 이 포맷은 HTML 문서, 이미지, 자바스크립트 파일, 하이퍼링크를 포함한 목차, 텍스트 등을 압축하여 만들어졌습니다.


 

헬프 파일에 어떠한 점이 그렇게 위험한 것일까요?


CHM 파일은 매우 상호적이며, 자바 스크립트를 포함한 기술 중 하나입니다. 사용자는 단순히 CHM 파일을 오픈하는 것만으로 외부 URL로 리다이렉트될 수 있습니다. 공격자들은 CHM파일을 오픈함으로써 악성 페이로드를 실행하도록 이를 악용하고 있습니다.
   
아래와 같이 가짜 ‘팩스 수신 알림’ 이메일은 사용자의 장비로부터 온 것처럼 위장하고 있습니다.


.chm 압축파일의 내용에 접근하면, http://*********/putty.exe 로부터 악성코드가 다운로드 되며, 자신을 %temp%\natmasla2.exe로 저장하여 멀웨어를 실행합니다. 이 과정 중에 명령 프롬프트 창이 오픈됩니다.



Cryptowall은 Cryptolocker의 상위 버전으로, 악성 페이로드를 정상 파일이나 프로그램으로 위장하는 것으로 알려진 파일 암호화 랜섬웨어입니다. 이 페이로드는 복호화 키를 인질로 돈을 요구하기 위해 감염된 컴퓨터에 있는 파일을 암호화합니다.


이 이메일은 2월 18일쯤 급격히 증가하였고, 수 백 명의 사용자를 타겟으로 하고 있습니다. 이 스팸메일의 서버는 베트남, 인도, 호주, 미국, 루마니아, 스페인에 위치한 것으로 보입니다. 수신인의 도메인명을 분석해 본 결과, 공격자들은 미국, 유럽, 호주, 네덜란드, 덴마크, 스웨덴, 슬로바키아를 포함한 전 세계의 사용자들을 노리고 있는 것으로 나타났습니다.



출처: Hot for Security

* 해당 블로그 콘텐츠는 공식적으로 인용 허가를 받았습니다. 

관련글 더보기

댓글 영역