잉카인터넷 시큐리티대응센터 블로그

“Vovalex” 랜섬웨어는 지난 1월에 발견된 랜섬웨어로 CCleaner Pro, uTorrent Ad-Free 등 설치 프로그램으로 위장해 유포되고 있어 사용자의 주의가 필요하다. 해당 랜섬웨어는 유료 버전인 CCleaner Pro 설치 프로그램으로 위장하고, 불법으로 인증 키를 생성하는 키젠(Keygen) 프로그램을 함께 유포하고 있다고 알려졌다. “Vovalex” 랜섬웨어에 감염되면 “uTorrent” 프로그램 설치와 동시에 ‘.sys’, ‘.ini’, ‘.lnk’ 확장자와 운영체제 구동을 위한 기본적인 시스템 폴더 및 파일을 제외한 모든 파일에 대해 암호화가 진행된다. 파일 암호화가 완료되면 “.vovalex” 이름의 확장자를 덧붙이며 바탕화면에 “README.VOVALEX.TXT” 랜섬노트를 ..

Introduction 올해 1월 해외 보안기업 I사는 ElectroRAT 캠페인을 공개했습니다. 이 캠페인의 악성코드는 GO 언어로 제작되었으며 Windows 뿐만 아니라, MacOS, Linux용 악성 파일을 배포하였습니다. 2020년 1월부터 활동한 것으로 추정되고 있는 이 캠페인은 정상적인 SW프로그램처럼 보이기 위해 독립적인 홈페이지를 구축하고, SNS와 암호화폐 커뮤니티에 정상 프로그램으로 홍보하여 설치를 유도하였습니다. 현재까지 알려진 FakeAPP은 암호화폐 거래 관리용 프로그램인 “eTrader”와 “Jamm”, 암호화폐를 사용하여 포커를 할 수 있는 ”DaoPoker”가 있으며, 해당 파일들은 NSIS포맷의 설치파일로 내부에 FakeApp과 백도어 기능을 수행하는 ElectroRAT으로..

RevengeRAT은 2016년 6월경 처음 등장한 악성코드로 지속적인 업데이트를 통해 현재까지도 유포되고 있다. “Palo Alto Network”의 “Unit 42” 연구팀은 2018년 12월경 서비스업, 특히, 호텔 예약 문서로 위장한 메일을 통해 고객들에게 RAT을 유포해 신용 카드 정보 및 사용자 정보를 탈취한 캠페인이 있었다고 밝혔다. 해당 캠페인에는 다양한 RAT이 사용되었으며 그 중에는 RevengeRAT도 포함되어 있다. (출처 : https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business) 최근 이러한 캠페인이 다시 등장해 브라질의 호텔 체인 기업 ..