ASEC 분석팀에서는 지난 11월 7일 MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어에 대해 블로그를 통해 소개한 바 있다. 이 후 Zone.Identifier 에 남겨진 데이터를 활용하여 매그니베르 유포에 활용되는 유포지에 대한 조사를 진행했다. 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식으로 잘못 입력한 도메인으로 접속시 광고페이지를 거쳐 매그니베르 랜섬웨어인 msi 파일이 다운로드 되었다. 이때 함께 생성된 Zone.Identifier 를 확인해보면, … 국내 매그니베르 유포에 활용되는 도메인 계속 읽기