2024-03-29 05:45 (금)
비너스락커 랜섬웨어 유포조직, 이번엔 DOC 문서 취약점 이용해 공격 개시
상태바
비너스락커 랜섬웨어 유포조직, 이번엔 DOC 문서 취약점 이용해 공격 개시
  • 길민권 기자
  • 승인 2018.01.25 13:45
이 기사를 공유합니다

기존에도 다양한 방식으로 랜섬웨어와 모네로 가상화폐 채굴 기능기 유포한 조직

▲ 비너스락커가 발송하는 메일 내용. 이스트시큐리티 제공.
▲ 비너스락커 공격가 발송하는 메일 내용. 이스트시큐리티 제공.
작년부터 활발한 활동을 하고있는 비너스락커(Venus Locker) 랜섬웨어를 유포한 공격자들이 이번에는 이메일에 DOC 문서를 첨부하고 익스플로잇을 이용해 유포하는 것이 포착됐다.

이번에 사용된 이메일 주소(ohyeonsoo0613@gmail.com)는 지난번 데일리시큐에서 보도한 '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 유포에 사용된 메일 주소와 동일하다.

이 공격자들은 기존에도 다양한 방식으로 랜섬웨어와 모네로 가상 화폐 채굴 기능기를 유포한 조직이다.

메일 내용은 “법적 조치는 하지 않을 테니 저작권에 접촉되는 그림을 확인해 달라”는 내용이다. 사용자가 확인을 하도록 유도하는 내용을 담고 있다.

첨부된 DOC 파일을 열어보면 아무런 내용이 없는 것처럼 보이지만 맨 앞부분에 있는 삽입된 개체를 통해 URL로부터 스크립트를 다운받아 실행한다.

실행되는 스크립트는 아래와 같고, 이 스크립트가 실행이 되면 최종적으로 'https://filetea.me/n3wnNWK0TyXRnKso730hCTKoA/dl' 사이트에 접속 후 '%appdata%' 하위 'output.exe'라는 이름으로 파일 다운 및 실행한다. 그러나 현재 서버에 파일이 존재하지 않아 동작하지 않는 상태다.

▲ 파워쉘 명령어가 포함된 화면. 이스트시큐리티 제공.
▲ 파워쉘 명령어가 포함된 화면. 이스트시큐리티 제공.
이스트시큐리티 관계자는 “최근에도 다양한 파일의 형식으로 통해 사용자 PC에 악성코드를 감염시키는 악성메일이 꾸준히 발생하고 있다”며 “이용자들은 출처를 확인할 수 없는 메일에 있는 첨부파일 혹은 링크 다운로드 하거나 클릭하면 위험하다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★