ASEC 분석팀은 5월 6일 이력서와 공정거래위원회를 사칭한 악성코드가 다수 유포됨을 확인하였다. 해당 악성코드는 첨부파일 형태로 유포되는 악성코드이며 하나의 압축파일에 파일명은 유사하지만, 성격이 다른 악성코드들이 포함되어 함께 유포되었다.
유포된 첨부 파일 중 “이력서.zip” 파일의 경우 내부에 2개의 실행 파일이 존재하였다. 먼저 아래 [그림 3]의 좌측 한글 문서(.hwp) 아이콘 실행 파일은 Nemty 랜섬웨어이고, 우측 PDF 문서 (.pdf) 아이콘 실행 파일은 "Vidar"이라고 알려진 정보 유출형 악성코드이다.
사용자 파일을 암호화하는 Nemty 랜섬웨어와 달리 “Vidar” 정보 유출형 악성코드는 로컬 시스템의 인터넷 브라우저, FTP, 메신저 계정정보와 더불어 시스템에 저장된 암호화폐 지갑 정보를 유출하는 기능을 수행한다.
최근 비트코인 가격이 상승함에 따라 암호화폐 지갑 유출 악성코드도 활발하게 유포되는 것으로 보인다. 따라서 사용자는 출처가 불분명한 이메일의 첨부파일을 함부로 열지 않도록 각별한 주의가 필요하다.
[Vidar 악성코드가 접속하는 URL]
- http[:]//chumashpeople[.]com/freebl3.dll
- http[:]//chumashpeople[.]com/vcruntime140.dll
- http[:]//chumashpeople[.]com/mozglue.dll
- http[:]//chumashpeople[.]com/softokn3.dll
- http[:]//chumashpeople[.]com/nss3.dll
- http[:]//chumashpeople[.]com/msvcp140.dll
- http[:]//chumashpeople[.]com/276
[5월 6일 유포된 악성코드 파일명]
- 이력서_200506(뽑아주시면 최선을 다해서 열심히 하겠습니다)1.exe -> (NEMTY 랜섬웨어)
- 이력서_200506(뽑아주시면 최선을 다해서 열심히 하겠습니다).exe -> (Vidar 정보 유출형 악성코드)
- 전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요).exe -> (Vidar 정보 유출형 악성코드)
현재 안랩은 해당 악성코드들에 대해서 파일진단 및 행위 진단으로 차단하고 있다.
[파일진단]
- Trojan/Win32.MalPe.R335204 (2020.05.06.01)
[행위진단]
- Malware/MDP.Ransom.M1171 // Nemty 랜섬웨어
- Malware/MDP.SystemManipulation.M2040 // Vidar 정보 유출형 악성코드
[URL 차단]
- http[:]//chumashpeople[.]com/freebl3.dll
- http[:]//chumashpeople[.]com/vcruntime140.dll
- http[:]//chumashpeople[.]com/mozglue.dll
- http[:]//chumashpeople[.]com/softokn3.dll
- http[:]//chumashpeople[.]com/nss3.dll
- http[:]//chumashpeople[.]com/msvcp140.dll
- http[:]//chumashpeople[.]com/276
'악성코드 정보' 카테고리의 다른 글
| 국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포 (0) | 2020.05.08 |
|---|---|
| Lazarus 그룹의 방위산업체 대상 공격 증가 (0) | 2020.05.08 |
| 포스트스크립트를 이용한 HWP 한글 문서 악성코드 주의 (0) | 2020.04.28 |
| [주의] 이력서로 위장한 makop 랜섬웨어 (04.13) (0) | 2020.04.13 |
| kimsuky 그룹, 국회의원 선거기간 노린 공격정황 포착 (0) | 2020.04.10 |
댓글