LockBit 랜섬웨어 및 Vidar 악성코드, 카지노칩 추천 위장해 유포중!

카지노칩 추천를 위장한 피싱 메일을 통해 락빗 랜섬웨어와 Vidar 악성코드가 유포되고 있어 사용자들의 각별한 주의가 필요합니다.

카지노칩 추천를 위장한 피싱 메일을 통해 랜섬웨어 및 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 공격 방식 중 하나로, 이번 공격은 주로 공기업 사용자를 대상으로 진행되었습니다.

피싱메일은입사카지노칩 추천내용과함께압축파일이첨부되어있습니다.압축파일은비밀번호가설정되어있으며,이메일본문내비밀번호가포함되어있습니다.

.zip파일내에는.alz파일이포함되어있으며,.alz파일내부에는악성파일이포함되어있습니다.

악성파일은파일명과확장자사이에다수의공백을추가하고한글파일과엑셀파일의아이콘을사용하여사용자의실행을유도하고있습니다.

파일이 실행되면 사용자 PC내 로컬 드라이브, 연결된 네트워크 공유 드라이브, 연결된 공유 폴더들을 암호화 한 후 .lockbit 확장자로 변경합니다.

또한 파일 복구를 어렵게 하기 위하여 볼륨 섀도우 복사본 및 로컬 시스템 백업을 삭제하며, 랜섬노트 생성 및 바탕화면 변경을 통하여 카지노칩 추천에 감염되었다는 사실을 사용자에게 알립니다.

카지노칩 추천 파일은 정보탈취 악성코드인 Vidar 악성코드의 변종으로, 사용자가해당파일을실행하면특정텔레그램주소에접속하여프로필에적혀있는C&C주소를받아와C&C에접속하여압축파일을내려받습니다.

​

다운로드되는압축파일내에는정보유출이필요한기능이구현된정상DLL파일들이포함되어있으며,C&C서버접속과동시에크롬(Chrome),엣지(Edge)브라우저에저장되어있는정보들을수집하여ProgramData폴더로복사후,사용자시스템정보수집을시작합니다.

이밖에도WinSCP,FileZila같은FTP프로그램의정보,Tronium,TrustWallet,bitwarden,Hashpack같은가상화폐프로그램관련정보들도함께수집됩니다.

정보수집이완료되면현재동작중인화면을찍은screenshot.jpg파일과함께수집정보와시스템정보를취합한파일들을압축하여C&C서버로전송합니다.

현재 알약에서는 해당 카지노칩 추천에 대해Trojan.PSW.Vidar,Trojan.Ransom.LockBit로 탐지중에 있으며, 변종에 대해서도 지속적인 모니터링 중에 있습니다.

IoC

c08995efb1a85d0fe00a464efdf4c92c
15270077906b551914cb70b2cbf5b6a0