안랩 ASEC은 자바스크립트를 통한 갠드크랩 랜섬웨어 유포 방식관련하여 8월 29일자 ASEC블로그를 통해 공개하였다. (참고: http://asec.ahnlab.com/1152)

9월 4일자 '구글 검색 통해 안랩 V3 제거 유도하는 갠드크랩 랜섬웨어 발견' 제목의 보안뉴스 기사에 소개된 내용은 이러한 자바스크립트 파일이 유포되는 방식 중 하나를 나타낸다.

https://www.boannews.com/media/view.asp?idx=72715

구글 브라우저를 통해 한국어 웹으로 특정 단어를 검색 시, 상단에 노출되어 일반 사용자로 하여금 다운로드 및 실행을 유도하고 있다. 아래의 [그림-1]은 "petools"라는 단어를 한국어 웹으로 설정하여 검색 시, 갠드크랩 랜섬웨어 유포와 관련된 사이트가 노출된 것을 나타낸다.

Comments에 언급된 By marcelo 는 갠드크랩 악성코드관련 정보를 게시하는 특정 사람을 지칭하는 것으로 추정된다. (https://twitter.com/MarceloRivero/)

[그림-1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트


아래의 [그림-2]는 해당 사이트에 방문 시, 다운로드를 유도하는 화면이다.

[그림-2] 사용자 클릭 유도화면

파란색 글씨의 다운로드 링크를 클릭 시, 아래와 같은 사이트로 접속하여 ZIP 형식의 압축파일이 다운로드 되며, 내부에는 JS 파일이 존재한다.

압축파일 내부의 아래의 JS 파일은 내부에 갠드크랩을 포함하는 악성파일로 V3 Lite 제품을 Uninstall 하는 기능 및 파워쉘을 통한 갠드크랩 다운로드 기능이 존재한다.

내부의 JS 파일을 V3에서는 "JS/GandCrab.S1"로 진단하며, 갠드크랩이 실행 시, 행위로도 차단이 가능하다. 검증되지 않은 사이트에서 파일을 다운로드 받는 경우, 사용자 주의가 필요하며 이러한 사례에서 처럼 JS 파일만 존재하는 경우, 악성코드로 의심하고 실행하지 않아야 한다.


Posted by 분석팀