상세 컨텐츠

본문 제목

JavaScript 만 사용한 랜섬웨어 발견!

국내외 보안동향

by 알약(Alyac) 2016. 6. 17. 15:55

본문

JavaScript 만 사용한 랜섬웨어 발견!

Ransomware created using only JavaScript discovered


보안 연구진이 JavaScript 만을 사용해 제작된 새로운 랜섬웨어 RAA를 발견했습니다. JavaScript는 본래 고급 암호화 함수를 포함하고 있지 않지만, 해당 랜섬웨어는 CryptoJS library를 사용하여 AES암호화를 통해 파일을 암호화할 수 있습니다.


Word 문서로 가장한 이메일 및 첨부파일을 통해 배포되며, mgJaXnwanxlS_doc_.js 같은 이름을 사용합니다. 파일이 실행되면, 악성코드는 컴퓨터를 암호화 해 복호화에 $250 (0.39BTC)를 요구합니다.


해당 코드는 Windows Script Host (WSH)로 실행되며, 이는 시스템 유틸리티에 접근을 허용하는 시스템 명령어를 실행시킵니다.


JavaScript 악성코드는 또한 Pony라고 알려진 비밀번호 탈취 툴을 추출하여 설치하며, 이를 통해 PC에서 비밀번호 및 다른 정보를 탈취할 수 있습니다. 해커들은 이 정보를 감청하는데 사용할 수 있습니다.


RAA는 16개 가량의 파일 유형을 암호화시키며, 처음 발견된 랜섬 요구 글은 러시아어로 작성되었습니다.


해당 랜섬웨어가 JavaScript를 처음 사용한 것은 아닙니다. Emisoft 보안 전문가 Fabian Wosar는 지난 1월 Ramsom32를 발견했지만 이는 Node.js로만 코딩되어 실행가능한 파일로 배포되었습니다.


High-Tech Bridge CEO는 로컬파일 접근과 디폴트로 실행가능 파일 실행이 불가능한 브라우저 콘텍스트에서 실행된 JavaScript와, .exe 파일과 기능이 유사한 데스크탑 상의 WSH를 통해 실행된 JSript를 구분해야 한다고 말했습니다. 또한 스팸 차단 규칙을 업데이트 해 .exe 파일과 마찬가지로 .js 및 다른 스크립트 첨부파일, 스크립트 확장을 차단해야 한다고 권고했습니다.


ESET의 보안 전문가는 잠재 위험성이 있는 첨부파일을 검역소에 보관하는 정책이 데이터 보호에 도움이 될 수 있다고 덧붙였습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.JS.Downloader.Agent로 탐지중에 있습니다. 



참고 : 

http://www.scmagazineuk.com/raa-malware-delivered-using-standard-javascript-file/article/503184/


관련글 더보기

댓글 영역