Paradise Ransomware Distributed via Uncommon Spam Attachment
공격자들이 피싱 캠페인을 통해 Paradise 랜섬웨어를 다운로드 및 설치하는 엑셀 웹 쿼리 첨부파일을 보내기 시작한 것으로 나타났습니다.
Paradise 랜섬웨어는 2017년 9월 처음 발견되었으며 꾸준한 활동을 이어왔습니다.
<ID Ransomware에 등록된 Paradise 랜섬웨어 건수>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/paradise-ransomware-distributed-via-uncommon-spam-attachment/>
만들기 쉽고 흔히 사용되지 않는 IQY 첨부파일
사이버 보안 회사인 LastLine에 따르면 Paradise 랜섬웨어 운영자들이 혜택, 주문 등으로 위장한 이메일을 보내고 있었던 것으로 나타났습니다.
이 이메일에 첨부된 파일은 IQY 파일로, 오픈되면 PowerShell 명령을 포함한 원격 사이트로 연결됩니다. 이 명령이 실행되면 Paradise 랜섬웨어를 다운로드 및 설치합니다.
IQY 파일은 엑셀 프로그램이 명령을 실행하고, 아웃풋을 엑셀 스프레드 시트의 데이터 소스로 사용할 수 있도록 하는 간단한 텍스트 파일입니다.
문제는 이 파일이 원격 URL로부터 데이터를 가져오기도 한다는 점입니다. 이 데이터는 피해자의 컴퓨터에서 PowerShell 명령 등 로컬 애플리케이션을 실행할 수 있는 액셀 수식을 포함합니다.
Paradise 랜섬웨어가 사용하는 IQY 파일은 데이터 소스로 웹을 사용하고 있으며 데이터를 받아오는 URL을 나타내는 텍스트만 포함하고 있습니다.
<Paradise 랜섬웨어 IQY 파일>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/paradise-ransomware-distributed-via-uncommon-spam-attachment/>
이 원격 URL은 피해자의 컴퓨터에서 key.exe 실행파일을 다운로드 및 실행하는 PowerShell 명령을 시작하는 엑셀 수식을 포함하고 있습니다.
<실행할 명령어>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/paradise-ransomware-distributed-via-uncommon-spam-attachment/>
Key.exe 실행파일은 실제로는 Paradise 랜섬웨어이며 실행될 경우 컴퓨터의 파일을 암호화하고 랜섬노트를 드롭합니다. (==%$$$OPEN_ME_UP$$$==---.txt)
이 랜섬노트에는 랜섬머니를 지불할 수 있는 링크와 지불 관련 지침이 포함되어 있습니다.
<Paradise 랜섬웨어 랜섬 노트>
<이미지 출처 : https://www.bleepingcomputer.com/news/security/paradise-ransomware-distributed-via-uncommon-spam-attachment/>
IQY 첨부파일은 Necurs, Buran 랜섬웨어, FlawedAmmy 원격 접속 트로이목마 등 과거 다른 악성코드 배포 캠페인에서 목격되었습니다. 하지만 흔한 것은 아닙니다.
이 첨부파일은 악성 코드가 전혀 포함되지 않은 단순 텍스트 파일이기 때문에 매우 효과적으로 이용될 수 있으며 보안 소프트웨어가 탐지하기 더욱 어렵습니다.
특별히 IQY 파일을 사용할 일이 없을 경우, 보안 소프트웨어에서 IQY 파일 유형을 차단하거나 이 파일을 첨부한 모든 이메일을 삭제하는 것이 좋습니다.
모르는 사람이 보낸 이메일에 IQY 파일이 첨부되어 있을 경우 악성일 가능성이 매우 높으니 즉시 삭제하시기 바랍니다.
현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.IQY.Agent, Trojan.Ransom.Paradise, Trojan.Trickster.Gen으로 탐지중에 있습니다.
출처 :
https://www.lastline.com/labsblog/iqy-files-and-paradise-ransomware/
DDR4 DRAM 칩의 적절하지 않은 Rowhammer 패치로 인해 비트 플리핑 공격 다시 가능해져 (0) | 2020.03.12 |
---|---|
MS, 전 세계 900만대의 Necurs 봇넷 성공적으로 차단해 (0) | 2020.03.11 |
제 2의 "워너크라이" 사태가 가능한 새로운 SMB 취약점(CVE-2020-0796) 발견! (0) | 2020.03.11 |
AMD 프로세서, 새로운 사이드 채널 공격이 가능한 2개의 취약점 발견! (0) | 2020.03.10 |
데비안(Debian) 리눅스, 지난 20년 동안 가장 많은 취약점이 발견된 운영체제 (0) | 2020.03.10 |
댓글 영역