Home > 전체기사
랜섬웨어와 채굴 코드 전달하는 스모크 로더, 업그레이드 거쳐
  |  입력 : 2018-07-04 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아와 터키, 우크라이나 주로 공격하는 멀웨어 다운로더
프로파게이트라는 다운로드 기법 새롭게 탑재한 채 나타나


[보안뉴스 문가용 기자] 스모크 로더(Smoke Loader)라는 멀웨어가 업데이트 되어 나타났다. 실제 공격에 사용되던 것이 보안 전문가들에게 발각되었는데, 프로파게이트(PROPagate)라는 새로운 주입 기술을 탑재하고 있다고 한다. 이 기술을 성공적으로 활용한 멀웨어는 처음이라고 한다.

[이미지 = iclickart]


이를 발견한 건 시스코 탈로스(Talos) 팀의 전문가인 벤 베이커(Ben Baker)와 홀거 운터브링크(Holger Unterbrink)다. 이 둘은 몇 개월 전 새로운 스모크 로더의 샘플을 확보하는 데 성공하고 이를 계속해서 분석해왔다. “저희 고객사 중 한 곳을 공격하고 있었기에 샘플을 확보할 수 있었습니다.”

한편 프로파게이트 주입 기술은 2017년 10월에 처음 소개된 것으로 SetWindowSubclass라는 이름의 API를 사용해 GUI를 통해 악성 코드를 로딩시키는 기법이다.

프로파게이트 기술이 추가된 것 외에 나머지 스모크 로더 본연의 기능은 그대로였다. 스모크 로더는 다음과 같은 특징을 가지고 있다고 탈로스 팀은 소개한다.

1) 이메일을 통해 퍼진다.
2) 워드 문서가 첨부되어 있다.
3) 워드 문서에는 악성 매크로가 포함되어 있으며,
4) 피해자가 이를 열 경우 멀웨어 다운로드가 시작된다.
5) 보통 2차로 다운로드 되는 멀웨어는 랜섬웨어다.
6) 최근에는 암호화폐 채굴 멀웨어가 랜섬웨어를 대체하기도 한다.
7) 추가로 덧붙게 되는 플러그인이 존재한다.
8) 시스템 내 저장된 크리덴셜이나 민감한 정보를 훔쳐내는 플러그인이 자주 사용된다.

스모크 로더는 수개월 동안 왕성한 활동력을 보여주는 위협으로, 지난 1년 동안에도 많은 사건을 일으키기도 했다. 3월 6일 MS는 윈도우 디펜더가 스모크 로더를 8만 번 이상 차단했다고 발표했다.

스모크 로더가 여태까지 발견되었다고 기록된 사건은 총 40만 번이라고 시스코 탈로스 팀은 말하며, “73%는 러시아와 터키를 겨냥한 공격이었고, 18%는 우크라이나에서 발견됐다”고 집계했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)