해커들이 가짜 윈도우 10 업데이트를 사용해 사이보그 랜섬웨어를 설치하고 있습니다

윈도우 사용자 여러분, 주의하세요! 윈도우 업데이트에 관한 마이크로소프트에서 온 것처럼 보이는 가짜 이메일이 랜섬웨어로 장치에 감염시키는 데 사용되고 있습니다.

Trustwave의 SpiderLabs의 보안 연구원들이 발견한 악성 이메일 캠페인은 가짜 이메일이 사람들을 컴퓨터에 윈도우 10 “중요 업데이트”를 설치하도록 유도하고 있음을 밝혔습니다.

이메일의 제목은 “최신 마이크로소프트 업데이트를 지금 설치하세요!” 또는 “중요 마이크로소프트 윈도우 업데이트!”라고 되어 있습니다. 이메일의 메시지는 “이 메일에 첨부된 마이크로소프트의 최신 중요 업데이트를 설치해 주세요”라는 한 줄로만 구성되어 있으며, 첨부 파일이 있습니다.

흥미롭게도, 첨부된 “업데이트” 파일은 실제로는 그림이 아닌 실행 가능한 .NET 다운로더인 .jpg 파일로 위장되어 있습니다. 이는 차례로 마이크로소프트 소속의 GitHub에 호스팅된 두 번째 실행 파일을 다운로드합니다.

“파일 bitcoingenerator.exe는 misterbtc2020에서 다운로드됩니다. 이 GitHub 계정은 조사 중 며칠 동안 활동했지만 현재는 삭제되었습니다.”라고 Trustwave의 다이애나 로페라가 블로그 게시물에서 말했습니다.

“이 파일은 btcgenerator 리포지토리 아래에 포함되어 있습니다. 첨부 파일과 마찬가지로, 이것은 .NET으로 컴파일된 악성코드인 사이보그 랜섬웨어입니다.”

전형적인 비트코인을 요구하는 사이보그 랜섬웨어는 피해자의 기계에서 모든 파일을 암호화하여 내용을 잠그고 모든 파일의 이름을 .777 확장자로 변경합니다. 또한, “Cyborg_DECRYPT.txt”라는 제목의 랜섬 노트가 피해자의 바탕화면에 놓여져 시스템 파일을 잠금 해제하기 위해 비트코인으로 500달러를 요구합니다.

연구원들이 랜섬웨어의 원래 파일 이름을 검색했을 때, 그들은 VirusTotal에서 그것을 찾고 조사했습니다. 그들은 세 개의 다른 샘플을 발견하고 랜섬웨어의 빌더가 온라인에 존재한다는 것을 발견했습니다. 또한, 사이보그 랜섬웨어가 GitHub에 호스팅된 빌더에 링크된 YouTube 비디오를 통해 홍보되고 있다는 것을 발견했습니다.

“GitHub 계정 Cyborg-Ransomware도 새로 생성되었습니다. 이 계정은 두 개의 리포지토리를 포함하고 있습니다: Cyborg-Builder-Ransomware와 Cyborg-Russian-version.”라고 로페라가 썼습니다.

“첫 번째 리포지토리는 랜섬웨어 빌더 바이너리를 포함하고 있으며, 두 번째 리포지토리는 다른 웹사이트에 호스팅된 빌더의 러시아어 버전 링크를 포함하고 있습니다.”

로페라는 사이보그 랜섬웨어가 기업과 개인 모두에게 실제 위험인 이유를 설명하며, “사이보그 랜섬웨어는 빌더를 손에 넣은 누구나 생성하고 퍼뜨릴 수 있습니다. 이는 다른 테마를 사용하여 스팸으로 전송될 수 있으며, 이메일 게이트웨이를 피하기 위해 다양한 형태로 첨부될 수 있습니다. 공격자는 이 랜섬웨어를 알려진 랜섬웨어 파일 확장자를 사용하도록 제작하여 감염된 사용자가 이 랜섬웨어의 정체를 오해하도록 만들 수 있습니다.”라고 말했습니다.

관련 GitHub 계정은 이후 삭제되었지만, 윈도우 사용자들은 마이크로소프트가 이메일을 통해 운영 체제에 패치를 푸시하지 않는다는 것을 기억하는 것이 중요합니다.

또한, 유사한 이메일을 받은 사용자는 즉시 삭제하는 것이 좋습니다. 또한, 알려지지 않거나 신뢰할 수 없는 출처의 이메일 첨부 파일이나 링크를 열지 않는 것이 좋습니다.