상세 컨텐츠

본문 제목

바탕화면 변경 기능을 추가한 매그니베르(Magniber) 랜섬웨어 주의!!

악성코드 분석 리포트

by 알약1 2022. 10. 24. 13:21

본문

 

 

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
기능을 업데이트 한 매그니베르 랜섬웨어가 유포 중에 있어 사용자들의 주의가 필요합니다. 

매그니베르 랜섬웨어는 기존과 동일하게 해킹된 불특정 다수를 대상으로 .msi 파일 형태로 유포 중에 있습니다. 

공격자들은 'SYSTEM.Critical.Upgrade.Win10.0.16자리 랜덤 문자열' 파일명을 가진 .msi 파일을 내려주어 사용자들의 실행을 유도합니다. 

[그림1] 다운로드 된 매그니베르 랜섬웨어 파일

 

 

매그니베르 랜섬웨어는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어를 dll 형태로 포함하여 유포하며, 만일 사용자가 해당 파일을 업데이트 파일로 오인하여 실행하면 msi 파일 내 포함되어 있는 dll 파일이 호출되며 매그니베르 랜섬웨어가 실행됩니다.

매그니베르 랜섬웨어가 실행되면 사용자 PC 내 파일들을 암호화한 후 랜섬노트를 생성합니다.

 

 

[그림2] 매그니베르 랜섬노트 화면



이번의 유포중인 매그니베르 랜섬웨어 기존과 다르게 바탕화면 변경 기능이 포함되어 있어, 암호화 완료 후 사용자 PC의 바탕화면을 변경하여 사용자가 랜섬웨어에 감염되었다는 사실을 바로 인지할 수 있습니다.

 

[그림3] 매그니베르 랜섬웨어에 감염 되어 변경 된 윈도우즈 바탕화면

 

 

보안이 취약한 광고 플랫폼을 경유하여 불특정 다수의 사용자를 대상으로 동시다발적 공격을 수행하는 '멀버타이징(Malvertising)'공격 기법을 통하여 대량 유포되고 있는 만큼 사용자들의 각별한 주의가 필요합니다. 

사용자 여러분들께서는 웹 서핑 과정에서 브라우저를 통해 자동으로 파일이 내려온다면 실행하지 마시고 바로 삭제해 주시기 바랍니다. 

또한 타이포스쿼팅 방식을 통해 랜섬웨어가 유포되기도 하는 만큼 사용자 여러분들께서는 주소창에 주소 입력 시 입력한 철자가 맞는지 다시 한번 확인하시기 바라며, 직접 주소 입력보다는 포털 사이트 검색을 통해 접속하시는 것을 권고 드립니다.

관련글 더보기

댓글 영역