매그니베르(Magniber) 랜섬웨어 변경(*.cpl -> *.jse) – 9/8일자

7월 20일에 MSI 형식에서 CPL 형식으로 유포방식을 변경한 이후, 8월 중순 이후부터 유포가 잠시 주춤한 것으로 확인되고 있었다. 지속적으로 변화 상황을 모니터링 하던 중, 2022년 9월 8일부터는 유포 방식이 *.CPL (DLL형식)에서 *.JSE (스크립트) 형태로 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 국내 사용자에 가장 큰 피해를 주는 랜섬웨어 중 하나로 활발하게 유포되고 있고, 백신의 탐지를 우회하기 위한 다양한 시도가 확인되고 있어 사용자의 각별한 주의가 요구된다. (참고: https://asec.ahnlab.com/ko/36746)

[그림-1] 기존 CPL 파일 유포 현황

위 그림과 같이 기존 CPL 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 CPL 파일에서 JSE 파일 유포로 전환한 것을 확인할 수 있다. Chrome, Edge 웹 브라우저 별로 다운로드되는 파일의 형식이 다른 것을 알 수 있다. Edge 브라우저에서 받아진 ZIP 압축파일 내부에는 Chrome과 동일하게 JSE 형식의 파일이 확인된다.

  • (2022/09/07) system_update_win10.****************.cpl
  • (2022/09/08) Antivirus_Upgrade_Cloud.****************.jse (Chrome 브라우저)
  • (2022/09/08) Antivirus_Upgrade_Cloud.****************.zip (Edge 브라우저)
[그림-2] 광고사이트 및 위장사이트를 통해 리다이렉션된 랜섬웨어 유포 페이지(Chrome 브라우저)
[그림-3] Edge, Chrome 브라우저에서 다운로드된 매그니베르

이러한 차이는 각 브라우저 별 보안정책에 의해 다운로드가 차단되는 것을 우회하기 위한 시도로 추정된다.

[그림-4] 매그니베르 랜섬웨어 랜섬노트

현재 매그니베르는 최신 윈도우 버전의 Chrome, Edge 브라우저 사용자 대상으로 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 유포되고 있다. 따라서 사용자가 잘못 입력한 도메인으로 인하여 이번 사례와 같이 랜섬웨어 유포로 연결될 수 있기 때문에 각별한 주의가 필요하다.

현재 안랩에서는 매그니베르 랜섬웨어에 대해 아래와 같이 대응하고있다.

[IOC]
[파일진단]
– Ransomware/JS.Magniber (2022.09.08.02)

[MD5]
– f63468170387166b6631bf0c851bd356

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:미분류

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments