사용자 정보 탈취와 랜섬웨어 감염을 동시에?

사용자 정보 탈취와 랜섬웨어 감염을 동시에? AhnLab ASEC대응팀 l 2019-01-16         최근 사용자의 민감한 정보를 탈취 후 랜섬웨어 감염을 야기하는 악성코드가 확인됐다. 인터넷 익스플로러(Internet Explorer, 이하 IE) 취약점과 인터넷 광고를 이용하는 비다르(Vidar) 악성코드로, 사용자들의 각별한 주의가 필요하다.     [그림 1]은 비다르 악성코드의 감염 과정이다. 보안 업데이트가 적용되지 않은 취약한 버전의 IE 브라우저를 이용 중인 사용자가 인터넷 광고를 보기만 해도 감염될 수 있다.   [그림 1] Vidar 악성코드 감염 과정   비다르 악성코드는 기존의 랜섬웨어 감염 방식과 달리 사용자의 민감한 정보를 먼저 탈취한다는 점이 특징적이다. 이때 감염 PC의 하드웨어 정보와 프로세스 정보, 네트워크 연결 정보, 운영체제 정보뿐만 아니라 [그림 2]와 같이 PC에서 사용하는 웹 브라우저, 접속한 웹 사이트의 정보, 이메일 계정, 비밀번호 등의 정보를 수집한다. 이렇게 수집한 정보를 파일로 생성한 후 다시 압축파일 형태로 공격자에게 전송한다.   [그림 2] 비다르 악성코드가 수집한 비밀번호 정보(위)와 시스템 정보(아래)   비다르 악성코드는 사용자 정보를 전송한 후 특정한 URL에 접속해 갠드크랩 랜섬웨어를 다운로드한다. 이렇게 랜섬웨어에 감염된 PC의 바탕화면은 [그림 3]과 같은 화면으로 변경된다.   [그림 3] 갠드크랩 랜섬웨어 감염 시 바탕화면   바탕화면이 변경됨과 동시에 감염 PC의 파일들이 암호화되고 파일의 확장자명이 임의의 문자열로 변경된다. 이어 [그림 4]와 같이 암호화된 파일의 복호화에 대한 대가를 요구하는 랜섬노트가 화면에 나타난다.   [그림 4] 갠드크랩 랜섬웨어의 랜섬노트   V3 제품군에서는 관련 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Malware/Win32.Possible_hpgen Malware/Win32.Generic   사용자의 민감한 정보를 탈취하는 것에 그치지 않고 랜섬웨어까지 감염시키는 비다르 악성코드는 업데이트를 적용하지 않아 보안에 취약한 응용 프로그램을 사용하는 시스템을 공격 대상으로 삼고 있다. 비다르 악성코드가 탈취한 정보에는 사용자 계정과 비밀번호처럼 민감한 정보를 포함하고 있어 추가 피해가 발생할 우려도 있다. 또 랜섬웨어에 감염된 사용자가 비용을 지불하더라도 암호화된 파일이 복구되지 않는 경우도 있다는 점도 문제다.   따라서 피해를 예방하기 위해서는 평소 운영체제와 주로 사용하는 응용 프로그램의 보안 패치를 적용해 악성코드가 노리는 취약점을 최소화해야 한다. 또 사용 중인 V3의 엔진 버전을 항상 최신 상태로 유지하고 실시간 검사 기능을 활성화해두는 것이 바람직하다.