매그니베르 랜섬웨어, 지속적인 파일명 변경을 통해 사용자 감염 시도중!
얼마 전, 해킹된 광고서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어에 대해 주의를 당부한 적이 있습니다.
▶ 해킹된 광고 서버를 통해 불특정 다수에게 유포중인 매그니베르 랜섬웨어 주의!
해당 공격은 현재까지 지속중이며, 불특정 다수를 대상으로 랜섬웨어를 내려주고 있어 여전히 위협적입니다.
그리고 최근, 파일명을 변경하여 사용자들의 의심을 피하고 실행을 유도하고 있는 점이 포착되었습니다.
기존의 경우에는 사용자의 접속 횟수와는 상관 없이 매번 Antivirus.Upgrade.Database.Cloud의 동일한 파일명의 랜섬웨어 파일을 내려주었는데, 많은 사용자들이 해당 파일이 랜섬웨어 파일이라는 것을 인지하여 감염률이 낮아졌고, 이에 공격자들은 주기적인 파일명 변경을 통하여 사용자들의 감염률을 높이려는 시도로 추측됩니다.
공격자들은 어제는 파일명을 Security.Upgrade.Hotfix.Cloud.cpl로, 금일에는 Antivirus.Update.Hotfix.KB[랜덤8자리숫자].cpl로 지속적인 수정중에 있습니다.
[그림 1] 크롬 브라우저를 사용하여 접속하였을 때 자동으로 내려오는 랜섬웨어 파일
[그림 2] 엣지 브라우저를 사용하여 접속하였을 때 자동으로 내려오는 랜섬웨어 파일
기존과 마찬가지로 사용자가 크롬 브라우저를 사용하면 .cpl 파일 형태로, 엣지 브라우저를 사용하면 .zip 파일 형태로 내려주는 방식은 기존과 동일합니다.
[그림 3] 랜섬웨어 감염 후 랜섬노트 화면
해킹된 광고 서버를 통해 유포되는 만큼, 불법 사이트 뿐만 아니라 광고가 포함된 정상 페이지에서도 배포될 수 있어 사용자들의 각별한 주의가 필요합니다. 사용자 여러분들께서는 웹서핑 과정에서 의도하지 않은 파일이 자동으로 내려온다면 파일명과 상관없이 실행하지 마시고 바로 삭제를 해주시기를 당부 드립니다. 현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Magniber로 탐지중에 있으며, 지속적인 모니터링을 통해 변종에 대응하고 있습니다.