Home > 전체기사

멜록스 랜섬웨어, DirectPlay 관련 프로그램으로 위장해 국내 유포중

  |  입력 : 2023-03-11 21:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
감염 대상 PC의 특정 언어 환경에서는 감염 행위 제외하는 특징 나타나

[보안뉴스 김영명 기자] 멜록스(Mallox) 랜섬웨어가 DirectPlay 관련 프로그램으로 위장해 유포되고 있는 것이 확인됐다. 해당 랜섬웨어는 취약한 MS-SQL 서버를 대상으로 유포되고 있다.

DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 특정 주소로 접속해 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다.

▲DirectPlay 프로그램으로 위장한 멜록스 랜섬웨어[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 멜록스 랜섬웨어를 분석한 결과, 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있었다고 밝혔다. 멜록스 랜섬웨어는 현재는 추가 악성코드를 다운로드하는 주소에 접속이 불가능하지만, 지난 2월에 확보한 멜록스 랜섬웨어와 접속하는 주소 도메인이 같은 것으로 보아 해당 도메인은 멜록스 랜섬웨어의 주요 유포지로 추정된다.

다운로드된 추가 악성코드는 Base64 인코딩된 데이터 파일이며, 해당 파일을 디코딩해 거꾸로 뒤집으면 닷넷으로 빌드한 DLL 파일임을 확인할 수 있다. 로드된 DLL은 파워쉘을 통한 지연 행위를 수행하고, 프로세스를 다시 실행해 인젝션한다.

▲레지스트리 삭제 화면[자료=안랩 ASEC 분석팀]


멜록스 랜섬웨어는 PC의 언어 설정에 따라 특정 언어 환경은 감염 행위에서 제외하는 특징이 있다. LangID 검사가 끝난 이후에는 레지스트리 삭제, 복구 비활성화, SQL 관련 서비스 및 프로세스 종료 명령을 수행한다.

이밖에도 해당 랜섬웨어는 정교한 감염 행위를 위해 시스템 종료 경고 메시지, 추가 레지스트리 설정 및 감염 PC 정보 유출 등의 행위를 수행한다. 또한, 특정 파일은 감염 대상에서 제외한다. 멜록스 랜섬웨어에 감염되면 파일은 [기존 파일명].mallox의 이름으로 암호화된다.

▲멜록스 랜섬웨어의 랜섬노트[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 랜섬웨어 예방을 위해서는 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 파일을 열기 전에 먼저 백신을 통한 검사를 진행해야 한다고 당부했다. 또한, PC에서 사용하는 백신도 최신 버전으로 꾸준한 업데이트 및 관리가 필요하다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)