매그니베르 랜섬웨어를 포함 다양한 잇스플로잇 키트에서 악용되고 있어
안티랜섬웨어 전문 기업 체크멀(대표 김정훈) 측은 "매그니베르 랜섬웨어를 포함 다양한 잇스플로잇 키트에서 악용되고 있다"고 주의를 당부했다.
해당 취약점 코드가 동작하면 악성 파일을 자동 실행해 일부 인터넷 익스플로러 웹 브라우저 설정을 변경한다.
웹 브라우저 홈페이지 주소를 변경하고, 사용자가 금융회사 홈페이지에 접속할 경우 가짜 사이트로 유도되어 금융정보를 탈취하는 파밍 사이트로 연결되도록 설정한다.
정상적으로 감염이 이루어진 경우, 사용자가 포털 사이트 접속 시 공인인증서 및 보안 인증 관련 팝업창을 생성해 인터넷뱅킹 사이트로 접속하도록 유도한다.
윈도우 부팅 이후에 감염된 PC 환경에서는 부팅 시마다 자동 실행되는 악성 파일(C:WindowsSystem32setup.exe)을 통해 재설치되기 때문에 함께 삭제해야 하며, 원활한 인터넷 연결을 위해 웹 브라우저의 인터넷 옵션에서 LAN 설정에 추가된 자동 구성 스크립트 주소를 반드시 삭제해야 한다.
체크멀 관계자는 “안티랜섬웨어 앱체크의 기능 중 취약점 가드는 악성코드가 다운로드 되기 전에 탐지하고 차단한다”며 “취약점 가드 기능을 활성화하고 사용하길 권장한다”고 전했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지