1. 블루크랩(Js.BlueCrab) 랜섬웨어란?
다운로드 페이지를 위장한 피싱 페이지로부터 유포
->최근 '유튜브 영상 고화질 다운로드'로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발생
2. 공격방법
①공격자는 취약한 웹서버를 탈취 후 '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드
②사용자가 검색 사이트에 영상 고화질 다운로드 관련 키워드를 입력하면 검색 사이트 결과에 공격자가 제작한 피싱
사이트가 노출
->사용자가 피싱 사이트에 접속해 다운로드 링크를 클릭하면 압축파일 형태(.zip)의 파일이 다운로드
③압축해제 후 자바스크립트 형태(.js)의 파일을 실행하면 '관리자 권한'을 요구하는 팝업창이 나타나고
'예'를 누를 경우, 사용자의 PC가 '블루크랩 랜섬웨어'에 감염
④사용자가 '아니요'를 누르거나 PC 재부팅을 시도할 경우에도 팝업창이 지속적으로 나타나 '예' 버튼 클릭을 유도
3. 대책방안
①파일 및 프로그램은 공식 경로를 이용해 다운로드
②OS 및 인터넷 브라우저, 응용 프로그램, 오피스 SW 등 프로그램 최신 버전 유지 및 보안 패치 적용
③중요 데이터는 별도 보관 장치에 백업 등의 보안수칙을 준수
4. 변형된 블루크랩
피싱 페이지와 그로부터 다운로드되는 JS파일의 구조는 크게 달라지지 않았지만, C2로부터 다운로드 받은 스크립트의
큰 변화가 발생
①HKCUSoftware[컴퓨터이름+"0"] 레지스트리에 악성 바이너리 삽입
->킬 스위치로서의 역할
②환경변수에 (1.)을 실행하는 명령어 삽입
③(2.)를 실행하는 명령어를 자동실행 등록 후 실행
참고: www.boannews.com/media/view.asp?idx=92417&page=2&mkind=1&kind=1
'최근 보안동향' 카테고리의 다른 글
| 캐시미르블랙(KashmirBlack) 봇넷에 대해서 (0) | 2021.01.15 |
|---|---|
| 록랫(RokRAT) 랜섬웨어에 대해 (0) | 2021.01.14 |
| 블리딩투스(Bleeding Tooth) 취약점에 대해 (0) | 2020.10.16 |
| 미라이형 loT 멀웨어 틴트(Ttint)에 대해 (0) | 2020.10.06 |
| 블랙에너지(BlackEnergy) 3 멀웨어 (0) | 2020.09.18 |
