해킹된 광고 서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어 주의!
ESRC는 여러차례 타이포스쿼팅 방식을 통해 유포되는 매그니베르 랜섬웨어에 대해 주의를 당부한 바 있습니다.
타이포스쿼팅이란 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 경우를 이용하여, 미리 관련 도메인을 등록해 놓고 해당 도메인을 이용하여 진행되는 공격으로 공격대상이 상대적으로 적을 수 밖에 없습니다.
그리고 최근, 광고 서버를 해킹하여 다수의 불특정다수를 대상으로 매그니베르 랜섬웨어가 유포중에 있어 사용자들의 각별한 주의가 필요합니다.
이번 공격은 주로 비 합법적인 방식으로 동영상 시청이나 파일 다운로드 등의 서비스를 제공하는 홈페이지들에 포함된 광고 서버를 통해 이루어집니다.
비 합법적인 방식으로 운영되는 홈페이지들의 경우 불법광고로 수입을 얻기 때문에 다양한 방식으로 광고를 노출하고 있습니다.
사용자가 이러한 홈페이지들에서 서비스를 이용하는 과정에서 의도적으로 혹은 실수로 광고를 클릭하여 광고 서버에 접속되게 되는 경우가 있습니다. 사용자가 광고를 클릭할 때마다 랜덤으로 광고 페이지에 접속되는데, 이때 해킹당한 광고서버에 접속하였을 경우 사용자 브라우저에 Antivirus.Upgrade.Database.Cloud 이름의 파일이 자동으로 내려옵니다.
주의할 점은 사용자가 사용하는 브라우저에 따라 내려주는 파일 형태가 다르다는 것입니다.
만일 사용자가 크롬(Chrome) 브라우저를 사용한다면 .cpl 형태의 파일로 내려주며, 사용자가 엣지(Edge) 브라우저를 사용한다면 .cpl 파일이 포함된 .zip 파일 형태로 내려줍니다.
[그림 1] 엣지 브라우저를 사용하여 접속하였을 경우 자동으로 내려오는 zip 파일 형태의 랜섬웨어
[그림 2] 크롬 브라우저를 사용하여 접속하였을 때 자동으로 내려오는 cpl 파일 형태의 랜섬웨어
Antivirus.Upgrade.Database.Cloud 파일명에서도 알 수 있듯이 백신 업데이트 파일처럼 위장하고 있지만 실제로는 랜섬웨어로, 만일 사용자가 해당 랜섬웨어를 실행하면 매그니베르 랜섬웨어에 감염됩니다.
감염 후에는 사용자 파일을 암호화 한 후 랜섬머니를 요구합니다.
[그림 3] 매그니베르 랜섬웨어 감염 후 띄우는 랜섬노트
랜섬웨어의 위협이 날로 증가하고 있습니다.
사용자 여러분들께서는 합법적인 유로 사이트를 통해 서비스를 이용해주시기를 바라며, 브라우저를 통해 자동으로 다운로드 되는 파일이 있는 경우 실행하지마시고 바로 삭제하시기 바랍니다. 또한 중요한 자료의 경우 외장하드와 같은 저장매체에 주기적으로 백업해 주시기를 권고 드립니다.
현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Magniber로 탐지중이며, 변종에 대해서도 지속적인 모니터링 중에 있습니다.