지난 3일부터 악성광고 프로그램 팝업창 통한 크립토월 4.0 유포 포착
공격자 “토르 브라우저 깔고 공격자가 알려준 URL 접속해 돈 지불해라”
어도비 플래시 플레이어, 최신 버전으로 업데이트 해야
[보안뉴스 김경애] 악성광고 프로그램의 팝업창을 통해 랜섬웨어의 최신 버전인 크립토월 4.0이 유포되고 있어 이용자들의 주의가 요구된다.
▲ 크립토월 4.0에 감염된 화면
이를 본지에 알려온 한 제보자는 “지난 3일부터 크립토월 4.0 버전의 랜섬웨어가 유포되고 있다”며 “해당 URL을 접속하면 랜섬웨어에 감염(지난 10일 기준)된다”고 밝혔다.
네이버에서 CD레코딩 프로그램인 CDburnerxp 파일을 검색하면 소프트웨어 정보란에 2개의 CDburnerxp를 프리로 다운로드 할 수 있는 프로그램이 나온다. 그중 좌측의 파일을 다운 받으면 악성 광고 소프트웨어(opencandy, lucky bright)가 같이 설치되는데, 이 광고 프로그램의 광고 팝업 창을 통해 크립토월 4.0이 감염된다.
크립토월 4.0에 감염되면 해당 PC의 실행파일, 문서파일 등이 암호화되며 HELP_YOUR_FILES라는 파일이 생성된다. 공격자는 ‘파일의 암호화를 풀고 싶으면 토르 브라우저를 깔고, 알려준 URL에 접속해 돈을 지불하라’고 이용자를 유도한다.
이를 분석한 윈스 이예량 주임은 “크립토월 4.0은 앵글러 익스플로잇 킷(Angler Exploit kit)에 포함된 어도비 플래시 플레이어 CVE-2014-8439와 CVE-2015-2419 취약점, Use-After-Free 취약점을 악용했다”며 “악성 파일이 사용자에게 드라이브 바이 다운로드(Drive-by-Download) 형식으로 감염된다”고 말했다.
CVE-2014-8439 취약점은 임의코드 실행으로 이어질 수 있는 역 참조 메모리 포인터 처리 관련 취약점이며, CVE-2015-2419는 Windows 7, Windows 8.1 운영 체제용 Internet Explorer 11 버전에서 JSCRIPT9 Heap 내의 UAF(Use-After-Free) 취약점을 통한 메모리 손상 취약점이라는 것.
또한 1차부터 7차까지의 경유지를 거쳐 랜섬웨어를 유포하고 있으며, 블랙 리스트 기능을 우회하기 위해 Fast-Flux와 DNS Shadowing 기술을 이용하고 있는 것 같다는 게 그의 설명이다.
따라서 이용자는 MS15-065: Internet Explorer용 보안 업데이트(3076321)긴급을 참조해 윈도우 업데이트를 해야 한다. 이어 어도비 플래시 플레이어(Adobe Flash Player)도 최신 버전으로 업데이트 해야 한다.
윈도우, 맥, 리눅스 환경의 어도비 플래시 플레이어 사용자는 다운로드 센터(http://www.adobe.com/go/getflash)에 방문해 최신 버전을 설치하거나 자동 업데이트를 이용해 업그레이드를 하면 된다.
윈도우, 맥 환경의 ESR(Extended Support Release) 버전 사용자의 적용방법은 어도비 플래시 플레이어 익스텐드 서포트(http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html) 웹사이트에 방문해 최신 버전을 설치하면 된다.
구글 크롬 브라우저 사용자, 윈도우8.0 버전에서 동작하는 인터넷 익스플로러10 버전 사용자, 윈도우8.1 버전에서 동작하는 인터넷 익스플로러11 버전 사용자는 윈도우 자동 업데이트를 적용하면 된다.
[김경애 기자(boan3@boannews.com)]
공격자 “토르 브라우저 깔고 공격자가 알려준 URL 접속해 돈 지불해라”
어도비 플래시 플레이어, 최신 버전으로 업데이트 해야
[보안뉴스 김경애] 악성광고 프로그램의 팝업창을 통해 랜섬웨어의 최신 버전인 크립토월 4.0이 유포되고 있어 이용자들의 주의가 요구된다.
▲ 크립토월 4.0에 감염된 화면
이를 본지에 알려온 한 제보자는 “지난 3일부터 크립토월 4.0 버전의 랜섬웨어가 유포되고 있다”며 “해당 URL을 접속하면 랜섬웨어에 감염(지난 10일 기준)된다”고 밝혔다.
네이버에서 CD레코딩 프로그램인 CDburnerxp 파일을 검색하면 소프트웨어 정보란에 2개의 CDburnerxp를 프리로 다운로드 할 수 있는 프로그램이 나온다. 그중 좌측의 파일을 다운 받으면 악성 광고 소프트웨어(opencandy, lucky bright)가 같이 설치되는데, 이 광고 프로그램의 광고 팝업 창을 통해 크립토월 4.0이 감염된다.
크립토월 4.0에 감염되면 해당 PC의 실행파일, 문서파일 등이 암호화되며 HELP_YOUR_FILES라는 파일이 생성된다. 공격자는 ‘파일의 암호화를 풀고 싶으면 토르 브라우저를 깔고, 알려준 URL에 접속해 돈을 지불하라’고 이용자를 유도한다.
이를 분석한 윈스 이예량 주임은 “크립토월 4.0은 앵글러 익스플로잇 킷(Angler Exploit kit)에 포함된 어도비 플래시 플레이어 CVE-2014-8439와 CVE-2015-2419 취약점, Use-After-Free 취약점을 악용했다”며 “악성 파일이 사용자에게 드라이브 바이 다운로드(Drive-by-Download) 형식으로 감염된다”고 말했다.
CVE-2014-8439 취약점은 임의코드 실행으로 이어질 수 있는 역 참조 메모리 포인터 처리 관련 취약점이며, CVE-2015-2419는 Windows 7, Windows 8.1 운영 체제용 Internet Explorer 11 버전에서 JSCRIPT9 Heap 내의 UAF(Use-After-Free) 취약점을 통한 메모리 손상 취약점이라는 것.
또한 1차부터 7차까지의 경유지를 거쳐 랜섬웨어를 유포하고 있으며, 블랙 리스트 기능을 우회하기 위해 Fast-Flux와 DNS Shadowing 기술을 이용하고 있는 것 같다는 게 그의 설명이다.
따라서 이용자는 MS15-065: Internet Explorer용 보안 업데이트(3076321)긴급을 참조해 윈도우 업데이트를 해야 한다. 이어 어도비 플래시 플레이어(Adobe Flash Player)도 최신 버전으로 업데이트 해야 한다.
윈도우, 맥, 리눅스 환경의 어도비 플래시 플레이어 사용자는 다운로드 센터(http://www.adobe.com/go/getflash)에 방문해 최신 버전을 설치하거나 자동 업데이트를 이용해 업그레이드를 하면 된다.
윈도우, 맥 환경의 ESR(Extended Support Release) 버전 사용자의 적용방법은 어도비 플래시 플레이어 익스텐드 서포트(http://helpx.adobe.com/flash-player/kb/archived-flash-player-versions.html) 웹사이트에 방문해 최신 버전을 설치하면 된다.
구글 크롬 브라우저 사용자, 윈도우8.0 버전에서 동작하는 인터넷 익스플로러10 버전 사용자, 윈도우8.1 버전에서 동작하는 인터넷 익스플로러11 버전 사용자는 윈도우 자동 업데이트를 적용하면 된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
