대규모 스마일 스팸 캠페인에서 새로운 Avaddon 랜섬웨어 발견

New Avaddon Ransomware launches in massive smiley spam campaign

새로운 Avaddon 랜섬웨어가 스마일, 윙크 이모티콘이 포함된 전 세계 사용자들을 노리는 대규모 스팸 캠페인을 통해 Avvaddon 랜섬웨어가 배포되고 있는 것으로 나타났습니다.

Avaddon은 이달 초 활동을 시작했으며, 해커와 악성코드 배포자를 적극적으로 모집해 다양한 방법으로 랜섬웨어를 확산시키고 있습니다.

Avaddon 랜섬웨어는 지난 2월 Nemty 랜섬웨어의 러브레터 캠페인을 연상시키는 스팸 캠페인을 통해 배포되고 있습니다.

내 사진이 마음에 드시나요?

이메일은 "Your new photo?" 또는 "Do you like my photo?"와 같은 제목을 사용하고, 메일 내용에는 윙크하는 이모티콘과 Avaddon 랜섬웨어 배포를 위한 JavaScript 다운로더만을 포함하고 있었습니다.

<Avaddon 스팸메일의 예>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

보안 회사인 Appriver는 Phorphiex/Trik 봇넷이 이 악성 메일을 배포하고 있다고 밝혔습니다.

이 캠페인은 규모가 작지 않습니다. AppRiver의 보안 연구원인 David Picket은 짧은 기간 안에 스팸 이메일 30만 건 이상을 차단했다고 밝혔습니다.

이 이메일에는 IMG123101.jpg와 같이 JPG 사진으로 위장한 JavaScript 파일이 첨부되어 있었습니다.

일반적으로 JavaScript 파일은 위험한 것으로 인식되어 있지만, 윈도우에서 파일 확장자를 기본으로 숨기기 때문에 무심코 오픈할 수 있습니다.

 

<JPG로 표시된 JavaScript>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

이 JavaScript 첨부파일이 실행되면 PowerShell과 Bitsadmin 명령어를 모두 시작해 Avaddon 랜섬웨어 실행파일을 %Temp% 폴더에 저장한 후 실행합니다.

 

<Avaddon JavaScript 다운로더>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

한 샘플을 테스트한 결과 이 랜섬웨어는 암호화할 데이터를 찾고 암호화하여 .avdn 확장자를 붙입니다.

 

<Avaddon으로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

각 폴더에는 랜섬노트인 [id]-readme.html 파일이 생성됩니다. 이 랜섬노트는 TOR 지불 사이트 링크와 고유 피해자 ID를 포함하고 있습니다.

 

<Avaddon 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

이 TOR 지불 사이트는 랜섬머니로 책정된 금액과 복호화 툴을 구매하는 방법을 보여줍니다. 이 샘플은 $900상당의 돈을 요구하고 있었습니다.

 

<Avaddon TOR 지불 사이트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

이 TOR 사이트는 지원 채팅, 무료 테스트 복호화, 해리포터 캐릭터가 포함된 도움말 페이지 또한 포함하고 있었습니다.

 

<Avaddon TOR 도움말 페이지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/>

ID-Ransomware의 Michael Gillespie는 이 랜섬웨어를 분석했지만 무료 복호화 툴을 만들기 위한 취약점을 발견하지는 못했습니다.

더욱 성행할 것으로 예상돼

Avaddon은 러시아 해킹 포럼에서 새로운 서비스형 랜섬웨어(RaaS) 프로그램이라 광고했습니다.

서비스형 랜섬웨어는 개발자는 악성코드 개발과 TOR 지불 사이트 운영만을 담당하며, 이 프로그램에 가입한 제휴 파트너들이 스팸, 네트워크 해킹, 익스플로잇 킷 등을 통해 랜섬웨어를 배포하는 방식으로 운영됩니다.

Avaddon은 제휴 파트너에게 랜섬머니의 65%를 지불하고 자신은 35%만 갖습니다. 규모가 큰 제휴 파트너는 공격 규모에 따라 더 큰 금액을 요구할 수 있습니다.

Avaddon은 제휴 파트너에게 랜섬웨어를 배포할 때 반드시 지켜야 하는 규칙에 대해 명시했습니다.

가장 일반적인 규칙은 독립 국가 연합(CIS)의 피해자를 공격해서는 안된다는 것입니다. (AZ, AM, BY, KZ, KG, MD, RU, TJ, UZ, UA, GE , TM)

또한 .onion 네트워크 내 관리자 패널의 주소를 표시하거나 제3자에게 전달하는 것은 금지되어 있습니다.

Avaddon의 제작자들이 지원자를 모집하기 시작했기 때문에, 더욱 많은 공격이 발생할 것으로 예상되어 주의가 필요합니다.

현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Ransom.Avaddon'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/