도메인 주소 잘못 입력했을 때 노려 미리 관련 도메인 등록해 공격하는 방식 사용

[보안뉴스 원병철 기자] 한국에서 집중적으로 유포됐던 ‘매그니베르 랜섬웨어’가 최근 타이포스쿼팅 방식을 이용해 또 다시 유포되고 있어 사용자들의 주의가 요구된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 매그니베르 랜섬웨어 공격이 발견됐다고 밝혔다.


[이미지=utoimage]

타이포스쿼팅은 사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 경우를 이용, 미리 관련 도메인을 등록해 놓고 해당 도메인을 이용해 진행되는 공격이다. ESRC는 올해 2월에도 타이포스쿼팅 방식을 이용한 매그니베르 랜섬웨어에 대한 주의를 당부한 바 있다. 

이번에 발견된 공격은 공격자가 매그니베르를 유포한 적이 있는 여러 도메인들을 사용했으며, 기존과 동일하게 msi 파일을 내려주는 방식을 사용한다. 또한, IP 체크를 통해 사용자가 해당 페이지에 재방문할 경우 다른 정상 페이지로 리다이렉션 시키는 방식도 동일하다. 
 

▲캡챠 페이지[자료=이스트시큐리티 ESRC] 

다만, 이번 공격에서는 기존에 없던 봇 여부를 판단하기 위한 캡챠 페이지가 추가됐으며, 봇이 아닌 것이 검증된 후에만 파일을 내려준다. 또한, 이번에는 Win10 뿐만 아니라 Win11도 감염시키기 때문에 기존의 ‘Critical.Update.Win10.0-kb8262760.msi’처럼 파일명에 윈도우 버전을 명시했던 부분이 삭제된 대신 ‘MS.Upgrade.Database.Cloud.msi’ 파일명이 사용됐다. 접속하는 사용자마다 동일한 파일명의 랜덤한 파일을 내려준다. 
 

▲자동으로 msi 파일 내려주는 화면[자료=이스트시큐리티 ESRC]

만일 사용자가 자동으로 다운로드된 msi 파일을 실행하면 매그니베르 랜섬웨어가 실행되며, 실행 후에는 ‘기존 파일명.rovmdohq’로 변경하며, README.html 랜섬노트를 생성한다. 
 

▲매그니베르의 랜섬노트[자료=이스트시큐리티 ESRC]

이스트시큐리티 ESRC는 “인터넷을 사용하기 위해 홈페이지에 접속할 때, URL이 맞는지 한 번 더 확인하는 습관을 길러야 한다”면서, “아울러 수상한 페이지에서 자동으로 다운로드 된 파일에 대해서는 실행하지 말고 바로 삭제해야 한다”고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>