07.06 보안뉴스

* 동일한 URL에서 갠드크랩과 헤르메스 랜섬웨어 유포

http://www.boannews.com/media/view.asp?idx=71091&mkind=1&kind=1

 

  - 이력서로 위장한 헤르메스 랜섬웨어와 갠드크랩 랜섬웨어 유포

  - 해당 악성 문서를 열리면 매크로가 활성화 -> 특정 네트워크에 접속 -> 랜섬웨어 다운로드 -> 실행

  - 갠드크랩 v4 랜섬웨어는 다형성을 갖고 있다.

  - URL은 상이하지만 특정 시간마다 샘플 파일 해쉬를 변경

 

* 정상적인 유틸리티와 툴 사용해 정보 뺴내느 새 멀웨어

http://www.boannews.com/media/view.asp?idx=71099&page=1&mkind=1&kind=

 

  - 정상적인 윈도우 툴과 WinRAR유틸리티, 애미 어드민을 사용해 정보를 수집 -> SMTP인 이메일 프로토콜을 통해 공격자들에게 정보를 전송

  - 러시아어로 적힌 텍스트와 어떤 집의 사진이 담긴 문서 열기 -> 매크로 기능을 활성화 시켜야 문서 내용 확인가능 ->

     바로가기 파일들을 검색하고 링크를 교체( 대부분 웹 브라우져 바로가기 파일을 노린다 ) -> 해당 바로가기 아이콘을 클릭

     -> 멀웨어 실행 -> WpmPrvSe.exe 다운로드 -> WPM Provider Host라는 악성 서비스 시작 -> 바로가기 파일 링크 원상 복구