브라우저를 통해 자동으로 다운로드 되는 매그니베르 랜섬웨어 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
매그니베르 랜섬웨어가 과거 appx로 유포하는 방식에서 msi인자로 다시 유포중인 정황이 포착되어 사용자들의 주의가 필요합니다. 

 

매그니베르 랜섬웨어는 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 타이포스쿼팅 방식을 이용하여 유포중입니다. 크롬 및 엣지 브라우저 사용자가 잘못된 도메인 주소를 입력하면, 다른 페이지로 리디렉션 시켜 최종 msi 파일을 내려줍니다 .

 

 

[그림 1] 특정 페이지에서 자동으로 내려오는 랜섬웨어

 

 

다만 ip체크를 통해 최초 1회만 다운로드 페이지에 접속되며, 또 다시 동일한 페이지에 접속 시 광고 페이지로 이동합니다. 

 

 

[그림 2] 재 접속 시 리디렉션 되는 광고 페이지

 

특정 페이지에 접속하려는 사용자가 url을 잘못 입력하였을 때를 노린 것으로 추정되며, 'Critical.Update.Win10.0-kb8262760.msi, Critical.Update.Win10.0-kb2385050.x64.msi, Critical.Update.Win10.0-kb9240853.msi, Win10.Update-kb8723467.msi' 파일명으로 내려주어 사용자들의 클릭을 유도합니다. 

 

 

[그림 3] 자동으로 내려온 msi 파일 실행화면

 

 

msi 파일은 윈도우 설치 프로세스를 수행하기 위한 다양한 작업을 지원하는데, 매그니베르는 그 중 dll 호출기능을 악용하여 사용자 PC에 메그니베르 랜섬웨어를 실행합니다. 

 

실행 후에는 '기존 파일명.czbxedz'로 변경하며, README.html 랜섬노트를 생성합니다. 

 

 

[그림 4] 매그니베르 랜섬웨어 실행 화면

 

사용자 여러분들께서는 홈페이지에 접속할 때 정확한 url을 입력하고, 수상한 페이지에서 자동으로 다운로드 된 파일에 대해서는 실행하지 마시고 바로 삭제하시기 바랍니다. 

 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.Magniber로 탐지중에 있습니다.