Dharma 랜섬웨어, 스팸 캠페인 통해 이탈리아 공격하기 시작

Dharma Ransomware Attacks Italy in New Spam Campaign

공격자들이 이탈리아의 윈도우 사용자를 노리는 새로운 스팸 캠페인을 통해 Dharma 랜섬웨어를 배포하기 시작한 것으로 나타났습니다.

Dharma 랜섬웨어는 Crysis 랜섬웨어 패밀리를 기반으로하며 수년 동안 활동해왔습니다. 하지만 이 랜섬웨어는 보통 해킹된 원격 데스크톱 서비스를 통해 설치되기 때문에 흔히 배포되지는 않습니다.

보안 연구원인 JAMESWT, TG Soft, reecDeep은 사용자를 Ursniff 키로거 또는 Dharma 랜섬웨어에 사용자를 감염시키는 새로운 스팸 캠페인을 발견했습니다.

이 스팸 메일의 제목은 'Fattura n. 637 del 14.01.20'와 같은 형식으로 작성되었으며 인보이스로 위장하고 있었습니다.

<스팸 이메일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/>

이 이메일의 내용은 아래와 같습니다.

Gentile cliente,

in allegato alla presente Le trasmetto la nostra fattura.

Si precisa che questa modalita d'invio, tramite posta elettronica,

sostituisce la spedizione catacea e che i documenti allegati

costituiranno l'orginale della fattura

Decreto

Si prega dare gentile conferma di lettura

이메일에는 인보이스 파일로 연결되는 링크가 포함되어 있었습니다. 이 링크를 클릭하면 'New documento 2.zip' 파일을 호스팅하는 OneDrive 페이지로 이동됩니다. 사용자가 해당 페이지를 방문할 경우 파일은 자동으로 다운로드됩니다.

<OneDrive 악성 Zip 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/>

이 zip 파일에는 파일 2개가 포함되어 있었습니다. 해당 파일은 VBS 스크립트인 'Nuovo documento 2.vbs'와 tuconcordancia.com 도메인에 대한 DNS 레코드를 나타내는 ‘yuy7z.jpg' 이미지 파일이었습니다.

<zip 파일의 내용>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/>

사용자가 'Nuovo documento 2.vbs' 파일을 실행할 경우 다른 악성 페이로드들이 설치되는 것으로 나타났습니다.

TG Soft는 이 VB 스크립트가 원래는 Ursniff 데이터 탈취 트로이목마를 설치했지만, 18일 아침부터 Dharma 랜섬웨어를 설치하기 시작했다고 밝혔습니다.

이 캠페인에서 설치되는 Dharma 랜섬웨어의 버전은 암호화된 파일에 .ROGER 확장자를 붙이며 지불 지침을 위해 sjen6293@gmail.com로 메일을 보내라는 랜섬노트를 표시합니다.

<Dharma Ransom Note>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/>

안타깝게도 현재 Dharma 랜섬웨어를 무료로 복호화할 수 있는 방법은 없습니다.

이 랜섬웨어에 감염되었을 경우, 파일을 복구하는 방법은 백업을 이용하거나 랜섬머니를 지불하는 것뿐입니다.

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Crysis로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/