본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

브라우저를 통해 자동으로 다운로드 되는 매그니베르 랜섬웨어 주의!

보안공지 2022-02-24


 

매그니베르 랜섬웨어가 과거 appx로 유포하는 방식에서 msi인자로 다시 유포중인 정황이 포착되어 사용자들의 주의가 필요합니다. 

 

매그니베르 랜섬웨어는 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 타이포스쿼팅 방식을 이용하여 유포중입니다. 크롬 및 엣지 브라우저 사용자가 잘못된 도메인 주소를 입력하면, 다른 페이지로 리디렉션 시켜 최종 msi 파일을 내려줍니다 .

 

 

[그림 1] 특정 페이지에서 자동으로 내려오는 랜섬웨어

 

 

다만 ip체크를 통해 최초 1회만 다운로드 페이지에 접속되며, 또 다시 동일한 페이지에 접속 시 광고 페이지로 이동합니다. 

 

 

[그림 2] 재 접속 시 리디렉션 되는 광고 페이지

 


특정 페이지에 접속하려는 사용자가 url을 잘못 입력하였을 때를 노린 것으로 추정되며, 'Critical.Update.Win10.0-kb8262760.msi, Critical.Update.Win10.0-kb2385050.x64.msi, Critical.Update.Win10.0-kb9240853.msi, Win10.Update-kb8723467.msi' 파일명으로 내려주어 사용자들의 클릭을 유도합니다. 

 

 

[그림 3] 자동으로 내려온 msi 파일 실행화면

 

 

msi 파일은 윈도우 설치 프로세스를 수행하기 위한 다양한 작업을 지원하는데, 매그니베르는 그 중 dll 호출기능을 악용하여 사용자 PC에 메그니베르 랜섬웨어를 실행합니다. 

 

실행 후에는 '기존 파일명.czbxedz'로 변경하며, README.html 랜섬노트를 생성합니다. 

 

 

[그림 4] 매그니베르 랜섬웨어 실행 화면

 

사용자 여러분들께서는 홈페이지에 접속할 때 정확한 url을 입력하고, 수상한 페이지에서 자동으로 다운로드 된 파일에 대해서는 실행하지 마시고 바로 삭제하시기 바랍니다. 

 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.Magniber로 탐지중에 있습니다.