사악한 듀오: Locky 및 Kovter

한 번에 두 마리 토끼를 잡기 위한 비참한 전략이 해커들에 의해 연구되고 있습니다. 저희가 설명드리겠습니다: 전문가들은 하나의 악성 이메일이 한 개가 아닌 여러 개의 감염을 확산시킬 수 있다는 사실을 발견했습니다. Microsoft는 Locky 랜섬웨어와 Kovter 사기 광고 멀웨어가 가능한 최악의 방법으로 협력하고 있음을 밝혀냈습니다: 이 둘의 배포가 결합되었습니다. 이는 멀웨어 감염 간의 유일한 파트너십이 아니며, Locky는 Sage 크립토-바이러스와도 밀접한 관련이 있는 것처럼 보입니다. 이러한 두 랜섬웨어는 그들의 비슷한 인프라에 있어 필적할 만합니다. Locky 랜섬웨어 자체의 활동은 지난 몇 달동안 현저하게 줄어든 것으로 보이나, 해커는 단순히 새로운 변종들을 생성한 채 Locky를 부차적인 감염 배포 대상으로 남겨뒀을 수도 있습니다. Locky가 사라졌으니 그에 대해 잊어버리시라고 말씀드리고 싶지만, 저희는 차마 그럴 수가 없습니다.

실제로, Locky가 놀라운 배포 방법을 모색하는 것으로 나타났습니다. Microsoft의 연구원들은 새로운 스팸 캠페인이 Locky와 Kovter를 동시에 배포하는 방법을 선택한다는 것을 발견했습니다. 캠페인은 이러한 두 개의 감염의 출처로 식별되는 하드 코딩 도메인으로 리디렉션을 일으키는 .lnk 파일을 전송합니다. 이 악성 첨부 파일은 실제로 다른 실행 파일에 대한 바로 가기로 작동하고 Power Shell 스크립트를 숨깁니다. 사람들이 추가 된 첨부 파일을 실행하게 하기 위해 .lnk 파일은 인터넷 사용자에게 훨씬 더 눈에 잘 띄고 안정적으로 보이는 .zip 파일에 삽입됩니다. 받은 파일을 다운로드함에 따라, 사용자께서는 Power Shell 스크립트가 실행되는 것을 승인하게 됩니다. 이 스팸 캠페인은 Locky와 Kovter를 한 쌍으로 배포하기 때문에, 사용자께서는 이 둘의 위협을 동시에 받게 될 것입니다. 아시다시피, Locky는 파일을 암호화하고 Kovter는 광고 사기에 중점을 둡니다.

Microsoft는 해커가 Locky와 Kovter의 배포를 담당하는 하나 이상의 웹사이트를 제어한다고 설명합니다. 보고서에 따르면, 이 기술을 난독화라고합니다. 난독화의 목적 중 하나는 악성 코드를 숨기는 것입니다. 이 경우, 블랙리스트를 없애기 위해 이 전략이 활용되었습니다. 연구원은 배포된 Locky와 Kovter에 초점을 맞춘 이 악성 스팸 캠페인의 다른 두려운 특징을 설명합니다. 멀웨어 샘플은 장치에 들어가자마자 자동으로 현재 변종으로 업데이트됩니다.

결론적으로, 이 계획은 매우 위험한 것으로 표시되며, 사용자께서는 받은 편지함에서 볼 수 있는 랜덤 이메일을 열지 마셔야 합니다. 랜덤 이메일을 여시면, 멀웨어 위협 요소가 시스템에 더 원활하게 적용될 것입니다.

출처: blogs.technet.microsoft.com.

About the author

 
 
 
 

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.