nemo의 이야기
07.06 보안뉴스 본문
* 동일한 URL에서 갠드크랩과 헤르메스 랜섬웨어 유포
http://www.boannews.com/media/view.asp?idx=71091&mkind=1&kind=1
- 이력서로 위장한 헤르메스 랜섬웨어와 갠드크랩 랜섬웨어 유포
- 해당 악성 문서를 열리면 매크로가 활성화 -> 특정 네트워크에 접속 -> 랜섬웨어 다운로드 -> 실행
- 갠드크랩 v4 랜섬웨어는 다형성을 갖고 있다.
- URL은 상이하지만 특정 시간마다 샘플 파일 해쉬를 변경
* 정상적인 유틸리티와 툴 사용해 정보 뺴내느 새 멀웨어
http://www.boannews.com/media/view.asp?idx=71099&page=1&mkind=1&kind=
- 정상적인 윈도우 툴과 WinRAR유틸리티, 애미 어드민을 사용해 정보를 수집 -> SMTP인 이메일 프로토콜을 통해 공격자들에게 정보를 전송
- 러시아어로 적힌 텍스트와 어떤 집의 사진이 담긴 문서 열기 -> 매크로 기능을 활성화 시켜야 문서 내용 확인가능 ->
바로가기 파일들을 검색하고 링크를 교체( 대부분 웹 브라우져 바로가기 파일을 노린다 ) -> 해당 바로가기 아이콘을 클릭
-> 멀웨어 실행 -> WpmPrvSe.exe 다운로드 -> WPM Provider Host라는 악성 서비스 시작 -> 바로가기 파일 링크 원상 복구
'Security News' 카테고리의 다른 글
07.02 보안뉴스 (0) | 2018.07.02 |
---|---|
06.30 보안뉴스 (0) | 2018.06.30 |
06.23 보안뉴스 (0) | 2018.06.23 |
05.29 보안뉴스 (0) | 2018.05.29 |
Comments