상세 컨텐츠

본문 제목

TeslaCrypt 랜섬웨어 캠페인, 미국 우편 서비스(USPS)로 위장해

국내외 보안동향

by 알약(Alyac) 2016. 2. 29. 09:00

본문

TeslaCrypt 랜섬웨어 캠페인, 미국 우편 서비스(USPS)로 위장해

TeslaCrypt Posing as USPS in Ransomware Campaign


AppRiver가 TeslaCrypt 랜섬웨어 캠페인이 미국 우편 서비스(USPS)로 위장하고 있다고 주의를 당부하였습니다.



<이미지 출처 : http://www.infosecurity-magazine.com/news/teslacrypt-posing-as-usps >



TeslaCrypt는 USPS와 동일한 그래픽과 색상을 사용하여 ‘배달이 실패하였다’는 메시지와 함께 대금 영수증으로 위장한 파일을 첨부한 이메일을 보내 유저들을 속이고 zip 파일을 열어보게 만듭니다. 

압축 된 zip 파일은 다운로더의 역할을 하는 악성 자바스크립트이며,파일명은 USPS_delivery_invoice.zip이며, 자바스크립트 파일은 invoice_[랜덤 스트링].js, invoice_copy_[랜덤 스트링].js 또는 invoice_scan_[랜덤 스트링].js등이 발견되고 있습니다.


일단 실행 되면, 자바 스크립트 다운로더는 mafiawantsyouqq[.]com, lenovowantsyouff[.]com, whereareyoumyfriendff[.]com, lenovomaybenotqq[.]com, ikstrade.co[.]kr 중 하나의 웹사이트에 연결하여 93[.]exe, 45[.]exe, 26[.]exe와 같은 파일들을 다운로드하게 됩니다. 일부 버전은 http post 커맨드를 생성하기 위해 salaeigroup[.]com에 연결을 시도하기도 합니다.


Appriver의 보안 연구 매니저인 Fred Touchette는 “이러한 랜섬웨어에 대해 바짝 경계하고 있다고 해도 감염율이 하락하지는 않았다. 이 캠페인이 대단히 효과적이라는 이야기다.”고 말합니다.

PandaLabs의 기술 디렉터인 Luis Corrons는 이러한 캠페인이 특히 중소기업에 아주 큰 피해를 입힐 수 있다고 설명했습니다. 공격자에게 랜섬 머니를 지불하지 않으면(공격자가 복호화키를 제공해준다는 전제하에) 중요사업을 진행하지 못할 수 있는 상황에 처할 수 있기 때문입니다.


다음과 같은 방법으로 이러한 랜섬웨어 공격의 위협을 어느정도 예방할 수 있습니다.


- 랜섬웨어를 막아줄 수 있는 안티바이러스 제품을 사용해야 합니다.

- 악성 이메일의 예를 보여주어 직원들을 교육시켜야 합니다.

- 모든 소프트웨어들이 항상 최신 버전으로 업데이트 되어 있는지 확인해야 합니다.


알약에서는 해당 랜섬웨어 악성코드에 대해 Trojan.JS.Downloader.Agent / Trojan.Ransom.TeslaCrypt로 탐지하고 있습니다.



출처 :

http://www.infosecurity-magazine.com/news/teslacrypt-posing-as-usps/



관련글 더보기

댓글 영역