안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다.
이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.
- 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210
[그림 1] 워드 문서
다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.
[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일
한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에 주의하여야 한다.
현재 V3에서는 다음과 같이 진단하고 있다.
워드 파일
- W97M/Downloader (2019.03.22.00)
- VBA/Downloader.S1 (2019.03.22.02)
SCT파일
- JS/GandCrab.S6 (2019.03.21.07)
EXE파일
- Malware/Win32.Generic (2019.03.21.05)
'악성코드 정보' 카테고리의 다른 글
| GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) (0) | 2019.03.27 |
|---|---|
| [주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 (1) | 2019.03.26 |
| 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) (0) | 2019.03.19 |
| 코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드 (0) | 2019.03.15 |
| 기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) (0) | 2019.03.08 |
댓글