Home > 전체기사

매그니베르 랜섬웨어, 타이포스쿼팅 방식 통해 또 다시 유포 중

  |  입력 : 2022-06-25 19:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
도메인 주소 잘못 입력했을 때 노려 미리 관련 도메인 등록해 공격하는 방식 사용

[보안뉴스 원병철 기자] 한국에서 집중적으로 유포됐던 ‘매그니베르 랜섬웨어’가 최근 타이포스쿼팅 방식을 이용해 또 다시 유포되고 있어 사용자들의 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 매그니베르 랜섬웨어 공격이 발견됐다고 밝혔다.

[이미지=utoimage]


타이포스쿼팅은 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 경우를 이용, 미리 관련 도메인을 등록해 놓고 해당 도메인을 이용해 진행되는 공격이다. ESRC는 올해 2월에도 타이포스쿼팅 방식을 이용한 매그니베르 랜섬웨어에 대한 주의를 당부한 바 있다. 

이번에 발견된 공격은 공격자가 매그니베르를 유포한 적이 있는 여러 도메인들을 사용했으며, 기존과 동일하게 msi 파일을 내려주는 방식을 사용한다. 또한, IP 체크를 통해 사용자가 해당 페이지에 재방문할 경우 다른 정상 페이지로 리다이렉션 시키는 방식도 동일하다. 
 

▲캡챠 페이지[자료=이스트시큐리티 ESRC] 


다만, 이번 공격에서는 기존에 없던 봇 여부를 판단하기 위한 캡챠 페이지가 추가됐으며, 봇이 아닌 것이 검증된 후에만 파일을 내려준다. 또한, 이번에는 Win10 뿐만 아니라 Win11도 감염시키기 때문에 기존의 ‘Critical.Update.Win10.0-kb8262760.msi’처럼 파일명에 윈도우 버전을 명시했던 부분이 삭제된 대신 ‘MS.Upgrade.Database.Cloud.msi’ 파일명이 사용됐다. 접속하는 사용자마다 동일한 파일명의 랜덤한 파일을 내려준다. 
 

▲자동으로 msi 파일 내려주는 화면[자료=이스트시큐리티 ESRC]


만일 사용자가 자동으로 다운로드된 msi 파일을 실행하면 매그니베르 랜섬웨어가 실행되며, 실행 후에는 ‘기존 파일명.rovmdohq’로 변경하며, README.html 랜섬노트를 생성한다. 
 

▲매그니베르의 랜섬노트[자료=이스트시큐리티 ESRC]


이스트시큐리티 ESRC는 “인터넷을 사용하기 위해 홈페이지에 접속할 때, URL이 맞는지 한 번 더 확인하는 습관을 길러야 한다”면서, “아울러 수상한 페이지에서 자동으로 다운로드 된 파일에 대해서는 실행하지 말고 바로 삭제해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야