보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

유튜브 프리웨어로 위장한 갠드크랩 변종 유포 중…주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-10-02

또 다른 갠드크랩 변종이 한국어 구글 사이트의 검색 결과 페이지를 이용해 유포되고 있는 것으로 확인됐다. 이번 갠드크랩 변종은 유튜브 프리웨어 설치 파일로 위장하고 있다. 국내에서도 유튜브 사용자가 많은 만큼 더 큰 피해가 우려된다. 

 

 

[그림 1] 갠드크랩 변종이 발견되었다 (*이미지 출처: shutterstock.com) 

 


[그림 1]은 최근 한국어 구글 사이트에서 ‘유튜브 프리웨어 download’를 검색한 결과다. 검색 결과에 나타난 페이지 중 최상단에 노출된 것을 클릭하면 악성 자바스크립트가 포함된 파일을 다운로드하게 된다. 


[그림 2] 한국어 구글 검색 결과의 상단에 나타난 갠드크랩 유포 사이트 

사용자가 구글 검색 결과를 클릭하여 갠드크랩 변종을 유포하는 사이트에 접속하면 [그림 2]와 같이 유튜브 프리웨어라는 이름의 압축 파일(.zip)이 다운로드된다. 그러나 [그림 2]의 화면은 해당 페이지에 처음 접속할 때만 나타나며, 이후 다시 접속하면 다른 페이지로 전환된다. 

[그림 3] 갠드크랩 유포 사이트 접속 시 설치되는 압축 파일 

위의 압축 파일 내부에는 자바스크립트 파일이 존재하며, 이 자바스크립트 파일 내부에 포함된 갠드크랩 변종의 버전은 v5.0.2이다. 또한 이 자바스크립트에는 최근의 갠드크랩 변종들과 마찬가지로 V3 Lite와 Avast 백신 프로그램의 삭제를 유도하는 기능이 포함되어 있다. 

[그림 4] 압축 파일 내부에 존재하는 자바스크립트 파일

또한, 갠드크랩 v4.x의 변종과 달리 v5.0.2는 감염 시스템의 파일을 암호화한 후 확장자명을 갠드크랩(gandcrab)이 아닌 랜덤한 이름으로 변경한다. 이는 앞서 확인된 갠드크랩 v5.0.1도 마찬가지다. 

V3 제품군에서는 갠드크랩 v5.0.2와 관련된 자바스크립트 파일과 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 
<V3 제품군 진단명> 
- JS/GandCrab.S1 (2018.10.02.03)
- JS/GandCrab.S2 (2018.10.02.03)
- Trojan/Win32.GandCrab (2018.10.02.04) 

갠드크랩 v5.0.2를 비롯해 최근 갠드크랩 변종들이 한국어 구글 사이트에서 폰트나 유틸리티 프로그램 등을 검색하는 사용자를 대상으로 유포되고 있다. 또한 V3 Lite의 삭제를 유도하는 등 국내 사용자를 노리고 있음을 알 수 있다. 따라서 갠드크랩 변종의 피해를 예방하기 위해서는 소프트웨어 이용 시 공식 업체의 웹사이트를 통해 다운로드하는 것이 바람직하다. 또한 이번 사례와 같이 압축 파일 형태의 설치 파일 내부에 자바스크립트(.js) 파일만 있다면 악성코드일 가능성이 높은 만큼 실행하지 않도록 해야한다. 

한편, 갠드크랩 최신 변종에 대한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다. 
  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.