보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

갠드크랩 아닌 블루크랩? 국내 사용자 노리는 또 다른 랜섬웨어 출현

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-05-22

최근 이메일, 피싱 사이트를 통해 새로운 랜섬웨어가 유포되고 있다. 일명 '블루크랩(BlueCrab)'으로 불리는 이 랜섬웨어가 국내 사용자를 노리고 있는 정황이 확인되어 더욱 각별한 주의가 요구된다.

 

(*이미지 출처:  shutterstock.com)  

 

이번에 확인된 블루크랩 랜섬웨어는 갠드크랩 랜섬웨어처럼 다양한 방식으로 유포되고 있다. 주로 악성 문서 파일이 첨부된 피싱 이메일이나 유틸리티 다운로드 페이지로 위장한 피싱 사이트 등을 이용하고 있다.


안랩의 시큐리티대응센터(ASEC)의 분석 결과, 피싱 사이트를 통해 다운로드한 유틸리티 프로그램의 자바스크립트 파일(.js)이 실행되면 블루크랩 랜섬웨어가 동작한다. 이때 윈도우 운영체제의 사용자 계정 컨트롤(User Account Control, UAC) 기능을 우회해 랜섬웨어가 동작할 때 사용자에게 알림창이 나타나지 않도록 한다.


여기에서 주목할 점은 사용자 PC에 V3 Lite가 설치되어 있으면 실행 방식을 바꾼다는 것이다. 이는 V3 Lite가 행위 기반 탐지 기법으로 UAC를 이용한 공격 방식을 차단하고 있기 때문이다. 이에 공격자는 V3 Lite가 설치된 PC의 경우 [그림 1]과 같은 UAC 알림창을 무려 100번이나 반복 노출해 당황한 사용자가 '예'를 클릭하도록 유도함으로써 랜섬웨어를 실행한다.

 

 

[그림 1] UAC 알림창
 

V3 제품군에서는 이런 방식을 이용하는 블루크랩 랜섬웨어를 행위 기반 기술로 탐지하여 [그림 2]와 같은 알림창을 제공한다.

 

 

[그림 2] V3 제품의 알림창

 

또한 V3 제품군에서는 블루크랩 랜섬웨어를 유포하는 스크립트를 아래와 같은 진단명으로 탐지한다.


<V3 제품군 진단명>

- JS/Gandcrab.S10 (2019.05.10.00)
- Malware/MDP.Behavior.M1997
- Malware/MDP.Behavior.M2084
- Malware/MDP.Behavior.M2194


블루크랩 랜섬웨어에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.

► ASEC 블로그 바로 가기

​ 

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.