2019-07-24 11:57 (수)
WinRAR 익스플로잇 통해 유포되는 새로운 JNEC.a 랜섬웨어 발견
상태바
WinRAR 익스플로잇 통해 유포되는 새로운 JNEC.a 랜섬웨어 발견
  • hsk 기자
  • 승인 2019.03.20 17:17
  • 댓글 0
이 기사를 공유합니다

hacker-symbol-2714262_640.jpg
파일 내용이 취약한 WinRar 버전으로 추출될때 JNEC.a를 전달하는 vk_4221345.rar라는 파일명의 아카이브를 사용하는 랜섬웨어가 in the wild에서 관찰되었다.

중국 치후360의 연구원들이 실제 공격에서 사용된 ‘vk_4221345.rar’ 아카이브 파일을 발견했다.

CVE-2018-20250로 추적된 이 취약점은 2월 체크포인트 전문가가 발견했고 공격자가 타깃 시스템을 제어할 수 있었다. 전 세계적으로 5억명 이상의 사용자가 이 소프트웨어를 사용하고 지난 19년간 출시된 모든 버전에 영향을 미친다.

해당 결함은 특수하게 제작된 파일 보관소를 사용해 임의 코드를 실행하는데 사용될 수 있는 라이브러리의 절대 경로 traversal 문제다. 랜섬웨어는 사용자 컴퓨터에서 데이터를 암호화하고 데이터에 .Jnec 확장자를 추가해 몸값 0.05 비트코인(약 $200)을 요청한다.

일단 랜섬웨어가 사용자 컴퓨터에 있는 파일을 암호화하면, 사용자는 몸값을 지불하고 복호화 키를 받을 수 있는 구글 지메일 주소를 생성한다. 또한 JNEC.a 랜섬웨어는 결제 방법에 대한 지침을 제공하기 위해 감염된 컴퓨터에 JNEC.README.TXT라는 랜섬 노트를 표시한다.

JNEC.a는 .NET로 작성되었다. 압축 파일이 해제되면 오류를 발생시키고 불완전한 그림을 보여준다. 이 과정에서 랜섬웨어가 이미 사용자의 컴퓨터에 전달된다. 공격자는 사용자를 속이기 위해 시작 폴더에 드롭된 악성코드명을 GoogleUp-date.exe로 변경한다.

JNEC.a 랜섬웨어는 여전히 탐지율이 낮고, 바이러스토탈 서비스의 31/71 바이러스 백신에 의해 악성으로 분류되었다. 현재까지 29개 바이러스 백신 엔진이 JNEC.a를 위협으로 탐지했다. 유명 악성코드 연구원인 Michael Gillespie는 코드 버그로 인해 개발자도 파일을 복호화할 수 없다고 한다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★