랜섬웨어, Cyberpunk 2077 모바일 버전으로 위장해

Ransomware masquerades as mobile version of Cyberpunk 2077

 

공격자가 CoderWare라는 랜섬웨어를 설치하는 가짜 윈도우 및 안드로이드 Cyberpunk 2077 게임 인스톨러를 배포하고 있는 것으로 드러났습니다.

 

사용자가 악성코드를 설치하도록 속이기 위해, 공격자들은 게이머 인스톨러, 치트, 저작권이 있는 소프트웨어의 크랙의 형태로 배포합니다.

 

카스퍼스키의 악성코드 분석가인 Tatyana Shishkova가 Cyberpunk 2077 게임의 모바일 버전으로 위장한 안드로이드 랜섬웨어를 발견했습니다.

 

이 게임은 정식 구글 플레이 스토어로 위장한 가짜 웹사이트를 통해 배포되고 있었습니다.

 

 

 

< 이미지 출처 : https://twitter.com/sh1shk0va/status/1338999532701577216>

<모바일 Cyberpunk 2077 게임으로 위장한 랜섬웨어>

 

 

 

Shishkova는 하드코딩된 키를 활용하는 CoderWare 랜섬웨어에 대한 트윗을 게시했습니다. 랜섬웨어가 하드코딩된 키를 사용할 경우 무료로 파일을 복구할 수 있는 복호화 툴이 개발될 수 있다는 것을 의미하기도 합니다.

 

“이 경우 암호화에 하드코딩된 키(21983453453435435738912738921)를 활용하는 RC4 알고리즘이 사용되었습니다. 즉 이 랜섬웨어로 파일이 암호화되었을 경우, 랜섬머니를 지불하지 않고도 파일을 복호화하는 것이 가능합니다.”

 

아래 하드코딩된 소스코드에서 하드코딩된 키인 '21983453453435435738912738921'를 확인할 수 있습니다.

 

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/>

<안드로이드 랜섬웨어 앱의 소스코드>

 

 

 

11월 출시된 윈도우 버전

 

이 랜섬웨어는 지난 11월 MalwareHunterTeam에서 발견한 윈도우 Cyberpunk 2077 인스톨러로 위장한 랜섬웨어와 동일한 것입니다.

 

안드로이드 버전과 마찬가지로, 이 랜섬웨어의 이름은 CoderWare라 되어 있지만 사실은 BlackKingdom 랜섬웨어의 변종입니다.

 

 

 

< 이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/>

<윈도우 CoderWare 랜섬노트>

 

 

 

윈도우 변종은 피해자의 파일을 암호화한 후, 파일명을 암호화하고 .DEMON 확장자를 붙입니다.

 

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/>

<윈도우에서 암호화된 파일>

 

 

 

현재 윈도우 버전이 하드코딩된 키를 사용하고 있는지는 알려지지 않았습니다.

 

이렇듯 저작권이 있는 소프트웨어를 무료로 설치하려고 시도할 경우 악성코드가 감염될 위험에 처하게 됩니다. 타사 앱 스토어에서 안드로이드 앱을 설치하려고 시도할 경우 이러한 위험은 더욱 증가합니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/ransomware-masquerades-as-mobile-version-of-cyberpunk-2077/

https://twitter.com/sh1shk0va/status/1338999532701577216