어쩌면 새로운 유행? 파일 암호화 시키고 채굴도 하는 랜서마이너

입력 : 2021-03-11 12:23

공격자들이 들고 나타난 새로운 유형의 멀웨어가 지난 해 8월부터 서서히 증가하고 있다고 한다. 랜섬웨어와 채굴 멀웨어(마이너)를 합친, 랜서마이너다. 피해자가 협박 편지를 받아볼 때쯤엔 이미 채굴이 시작되고 있다고 하는데, 그만큼 최대한의 이득을 보기 위한 공격자들의 새로운 시도라고 분석된다.

[보안뉴스 문가용 기자] 랜서마이너라는 새로운 유형의 멀웨어가 서서히 유행하기 시작했다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다. 랜서마이너(ransominer)는 암호화폐도 채굴하고 랜섬웨어 공격도 하는 유형의 멀웨어에 붙여진 이름이다. 현재 한 가짜 애드 블로커 앱이 이러한 공격을 실시하고 있으며, 하루에 약 2500명의 사용자들을 감염시키고 있다고 한다.


카스퍼스키에 따르면 문제의 애드 블로커는 애드쉴드 프로(AdShield Pro)라는 이름을 가지고 있으며 약 두 달 만에 2만 명이 넘는 사용자들을 감염시켰다고 한다. 인기 높은 애드 블로커인 애드쉴드(AdShield)로 속기 딱 좋은 이름이다. 하지만 이 앱 안에는 모네로를 채굴하는 XM리그(XMRig)와 데이터를 암호화 하는 랜섬웨어가 탑재되어 있다. 그 외에 넷쉴드킷(NetShieldKit)과 오픈DNS(OpenDNS)로 가장한 앱들도 존재한다고 한다.

물론 처음부터 악성 요소들이 포함되어 있는 건 아니다. 그랬다면 탐지 기술을 피해가지 못했을 것이다. 카스퍼스키의 설명에 따르면 애드쉴드 프로는 피해자의 장비에 설치된 후 DNS 설정을 변경시켜서 모든 도메인들이 공격자의 서버로 연결되도록 만든다고 한다. 그러므로 사용자들이 특정 백신 사이트에 접속하는 걸 금지시키는 것이다. 그런 후에 애드쉴드 프로는 업데이트를 진행하고, 이 때 악성 요소들이 추가된다.

카스퍼스키의 블로그 게시글(https://securelist.com/miner-xmrig/99151/)에 따르면 랜섬웨어와 암호화폐 채굴 공격을 동시에 진행하는 방식은 작년 8월에 처음으로 보안 업체 어베스트(Avast)가 발견했다고 한다. 먼저는 RDP를 통한 접근 경로를 확보해 놓고 랜섬웨어를 심은 후 다시 XM리그를 설치하는 순서로 공격이 진행되었다. 즉, 피해자가 랜섬웨어 협박 편지를 보기 전부터 이미 그 기기는 공격자들을 위해 돈을 모으는 도구가 되는 것이라고 카스퍼스키는 설명한다.

다만 8월 당시에는 멀웨어가 ‘애드쉴드 프로’가 아니라 멀웨어바이츠의 백신 인스톨러로 위장되어 있었다. 이번에 발견된 애드쉴드 프로 앱은 지난 8월에 발견된 캠페인의 ‘최신판’에 사용된 도구로 보인다. 또한 지속적으로 채굴 활동을 벌이기 위해 공격자들은 servicecheck_XX라는 작업을 윈도 작업 스케줄러에 추가하기도 한다. 여기서 XX는 무작위 숫자를 말한다.

현재까지 피해자들은 러시아와 독립 국가 연합(CIS)에 소속되어 있는 나라들에 집중되어 있는 것으로 분석됐다.

카스퍼스키에 의하면 이번에 발견된 멀웨어들은 어느 정도 제거가 가능하다고 한다. 시스템 내에서 flock.exe라는 파일이 발견될 경우, NetshieldKit, AdShield, OpenDNS, Transmission 토렌트 앱을 찾아 언인스톨할 것을 권장한다. 그런 후 해당 앱들이 설치되어 있던 폴더들도 확인해 제거하는 것이 좋다고 한다. 폴더들은 다음과 같다.

-C:\ProgramData\Flock
-%allusersprofile%\start menu\programs\startup\flock
-%allusersprofile%\start menu\programs\startup\flock2

지난 8월에 나타난 가짜 멀웨어바이츠 앱에 감염되었을 수도 있으니, 역시 언인스톨 후 다음 폴더들을 찾아 제거하면 된다.
-%program files%\malwarebytes
-program files (x86)\malwarebytes
-%windir%\.old\program files\malwarebytes
-%windir%\.old\program files (x86)\malwarebytes

마지막으로 윈도 스케줄러에서 servicecheck_XX를 찾아 삭제해야 한다고 카스퍼스키는 강조했다. 또한 처음부터 신뢰할 만한 곳에서 앱을 다운로드 받아 설치해야 한다는 점도 지적했다.

3줄 요약
1. 랜섬웨어도 되고 암호화폐도 채굴하는 ‘랜서마이너’ 멀웨어 유행 시작.
2. 피해자가 협박 편지를 볼 때면 이미 채굴이 진행되고 있는 상태.
3. 다행히 제거 방법 존재함. 특정 프로그램 언인스톨하고 폴더 지우고 스케줄러 확인하면 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...