코로나19 바이러스 접촉자 추적 앱으로 위장해 유포되는 [F]Unicorn 랜섬웨어 발견

New [F]Unicorn ransomware hits Italy via fake COVID-19 infection map

코로나19 바이러스 확산 추세를 악용해 접촉자 추적 앱으로 위장된 [F]Unicorn 랜섬웨어가 유포되었습니다. 

해커들은 이탈리아 사용자들을 대상으로 코로나19 감염 정보 실시간 업데이트를 제공하고 사용자를 속여 가짜 앱을 다운로드하도록 만들었습니다. 

또한 이탈리아 약사 연맹 (FOFI)이라는 기관명을 사용함으로써 신뢰성을 높임으로써 사용자가 악성 실행 파일을 클릭하도록 유도했습니다. 

해당 랜섬웨어는 "Immuni"라는 이름의 접촉자 추적 앱으로 위장해 이탈리아 사용자들의 휴대전화를 감염시켰습니다. 

조사 결과, 해당 이메일에는 코로나19 바이러스 확산을 막기 위해 "Immuni" 접촉자 추적 앱의 PC 버전을 다운로드할 수 있다는 내용이 포함되며, 코로나 바이러스 차단과 확산을 위해 노력 중인 약국, 대학, 의사 및 여러 기관들을 타깃으로 유포되었습니다. 

공격자는 이탈리아 약사 연맹 (FOFI) 웹사이트를 위조해 실제와 유사한 도메인 이름을 등록했습니다. 이메일에는 다운로드 링크 및 공격자와 약사 연맹의 이메일 주소를 결합한 연락처 정보가 포함됩니다. 

랜섬웨어가 실행되면 미국 존스홉킨스대 시스템과학공학센터(CSSE)에서 보낸 것처럼 보이는 코로나19 바이러스 정보가 포함된 가짜 대시보드가 나타납니다. 

사용자가 대시보드 상의 지도를 보는 동안 [F]Unicorn 랜섬웨어는 사용자 시스템의 데이터 암호화를 진행합니다. 

분석 결과, 해당 악성코드는 /Desktop, /Links, /Contacts, /Documents, /Downloads, /Pictures, /Music, /OneDrive, /Saved Games, /Favorites, /Searches, /Videos 폴더를 스캔하여 다음과 같은 파일 확장자를 확인합니다.

.Txt, .jar, .exe, .dat, .contact, .settings, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv,. py, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .htm, .xml, .psd, .pdf, .dll, .c, .cs, .mp3, .mp4, .f3d, .dwg, .cpp, .zip, .rar, .mov, .rtf, .bmp, .mkv, .avi, .apk, .lnk, .iso, .7-zip, .ace, .arj, .bz2, .cab, .gzip, .lzh, .tar, .uue, .xz, .z, .001, .mpeg, .mp3, .mpg, .core, .crproj, .pdb, .ico, .pas , .db, .torrent

파일 암호화가 완료되면, 파일명이 (숫자).(기존 확장자).fuckunicorn.htrhrtjrjy로 변경됩니다.

사용자는 이탈리아어로 작성된 랜섬노트를 통해 파일이 암호화되었음을 확인할 수 있고 파일 복구를 위해 3일 내로 300 유로를 지불하라는 내용을 확인하게 됩니다. 

공격자의 주소와 비트코인 주소가 함께 제공되며, 랜섬노트의 상세 내용은 다음과 같습니다.  

The long snake on Asceplio's staff has rebelled, and a new era is about to come!

This is your chance to redeem yourself after years of sins and abuses.

It's up to you to choose. Within 3 days the pledge to pay you will have to or the fire of Prometheus will cancel your data just as it has wiped out the power of Gods over men. The pledge is only 300 euros, to be paid with Bitcoins at the following address: 195naAM74WpLtGHsKp9azSsXWmBCaDscxJ after you have paid, an email to send us you will. xxcte2664@protonmail.com the transaction code will be the proof.

After the paid pledge you will receive the solution to put out Prometheus' fire. Go from

police or calling technicians will be of no use, no human being can help you.

파일 암호화 비밀번호는 일반 텍스트 형태로 공격자에게 전송되어 네트워크 트래픽 로그에서 확인될 수 있습니다. 

한 전문가는 [F]Unicorn 랜섬웨어 공격자가 이전에 발견된 랜섬웨어 코드를 재사용한 것으로 보아 해킹 기술에는 미숙할 것으로 예상된다고 설명했습니다. 

확인 결과, 랜섬노트에 포함된 이메일 주소는 유효하지 않은 것으로 나타났으며, 공격자에게 랜섬이 지불된 정황도 발견되지 않았습니다. 그러므로 사용자들은 더더욱 랜섬을 지불해서는 안됩니다.  

MalwareHunterTeam 연구팀은 [F]Unicorn 랜섬웨어가 Hidden Tear 랜섬웨어를 참고한 것으로 보인다고 전했습니다. 공격자는 기존 Hidden Tear 랜섬웨어에서 CSS 및 HTML 코드를 일부 수정했습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-f-unicorn-ransomware-hits-italy-via-fake-covid-19-infection-map/