㈜소프트이천

매그니베르(Magniber) 랜섬웨어가 올해 12월 9일부터 유포를 재개했다. 매그니베르는 보안 또는 사회 트렌드 관련 용어를 파일명에 포함해 사용자의 악성파일 실행을 유도하는데, 최근에는 코로나 관련 파일명으로 확산되고 있는 것으로 확인된다.

재유포 중인 매그니베르 랜섬웨어 .msi 파일

코로나 관련 파일명으로 유포 중인 매그니베르 랜섬웨어

​

과거 매그니베르는 인터넷 익스플로러(Internet Explorer) 취약점을 악용해 사용자가 웹사이트에 방문하기만 해도 드라이브 바이 다운로드(Drive by Download)로 PC를 감염시켰다. 하지만 마이크로소프트에서 인터넷 익스플로러 서비스가 종료되자, 새로운 브라우저 취약점 대신 사회공학적 기법으로 보안 업데이트 및 코로나 경고문 파일로 위장한 사례가 늘었다. 이런 수법은 공수가 많이 드는 공급망 및 취약점 공격보다 더 쉽고 효율적이라는 점에서 많은 공격자가 선호하며, 블루크랩(BlueCrab), 록빗3.0(Lockbit 3.0) 랜섬웨어 유포에 활용되기도 했다.

​매그니베르 유포 파일명 일부

​

매그니베르 랜섬웨어는 이미 알려진 것처럼, 크롬, 엣지 브라우저에서 각각 .msi, .zip 파일로 다운로드된다. 파일을 클릭하는 순간, 외부 유입 파일에 대한 실행 여부를 묻는 메시지창이 뜨지 않고 곧바로 실행된다. 따라서 신뢰할 수 없는 웹사이트를 함부로 방문해서는 안 되며, 실수로 파일을 다운로드한 경우 실행하지 않도록 주의해야 한다.

매그니베르 랜섬웨어 감염 시 변경된 바탕화면

출처 : AhnLab