상세 컨텐츠

본문 제목

유포를 재개한 매그니베르(Magniber) 랜섬웨어 주의!

악성코드 분석 리포트

by 알약4 2022. 7. 18. 14:33

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
매그니베르 랜섬웨어가 타이포스쿼팅 방식을 통해 또 다시 유포되고 있어 사용자들의 주의가 필요합니다.

사용자가 웹 주소창에 도메인을 입력하는 과정에서 철자 누락이나 오타가 발생하여 공격자가 만들어 놓은 페이지로 접속하면, 여러 사이트로 리디렉션 되며 최종적으로  MS.Upgrade.Database.Cloud이름의 파일이 자동으로 내려옵니다. 

기존에 유포하였던 동일한 파일명을 사용하였지만, 기존에 .msi 파일 형태가 아닌 .zip 파일 형태로 변경되었습니다. 

 

[그림 1] 타이포스쿼팅 방식을 이용하여 유포되는 매그니베르 랜섬웨어



브라우저 쿠키값 확인을 통하여 사용자의 접근이력을 확인하기 때문에, 한번 접속하여 파일이 내려온 사용자가 재접속 시 정상적인 임의의 페이지로 리디렉션 됩니다. 

압축파일 내에는 .msi 파일이 포함되어 있으며, 해당 파일을 실행하면 매그니베르 랜섬웨어에 감염되게 됩니다. 

 

[그림 2] 압축파일 내 msi 파일을 위장한 매그니베르 랜섬웨어



매그니베르 랜섬웨어는 사용자 PC에서 실행 후 '기존파일명.ocliuch'로 변경하며, 파일들이 암호화된 폴더마다 README.html 파일명의 랜섬노트를 생성합니다. 

 

 

[그림 3] 매그니베르 랜섬노트

 


사용자여러분들께서는 주소창에 주소 입력 시 입력한 철자가 맞는지 다시 한번 확인하셔야 하며, 직접 주소 입력 보다는 포털 사이트 검색을 통해 접속하시는 것도  타이포스쿼팅을 통한 공격을 예방하는데 좋은 방법 중 하나입니다. 

 

현재 알약에서는 해당 악성파일에 대해  Trojan.Ransom.Magniber로 탐지중에 있으며, 추가 변종에 대해서도 꾸준히 모니터링 중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역