읽기 시간 : 5 분

귀하의 이메일 상자에서 미 지방 법원에 소환장을 찾았다면 겁이 나거나 적어도 불안하십니까? 대부분의 사람들은 분명히 그렇게 할 것입니다. 정교하고 교활한 랜섬웨어 페이로드를 사용하여 러시아 기반 IP로부터이 대규모 공격을 수행 할 때 악의적 인 공격자가 계산 한 것입니다.

사회 공학 : 허위 당국은 진정한 두려움을 유발합니다

3582 명의 사용자가“미국 지방 법원”소환장으로 위장한이 악성 이메일의 대상이되었습니다.

보시다시피, 전자 메일은 사용자가 악의적 인 첨부 파일을 열도록 유도하는 사회 공학 기법으로 구성됩니다. 주로 가해자들은 희생자들을 조종하기 위해 감정적 인 두려움, 권위, 호기심을 가지고 노력합니다. 이 정서적 자극 상태를 수용자의 마음에 설치하는 것은 비판적 사고 능력을 억제하고 맹렬하게 행동하게하는 것을 목표로합니다.

또한 발신자의 이메일 주소는 "uscourtgove.com"물론 위조되지만 이메일에 더 많은 신뢰성을 부여합니다. 첨부 파일의 비밀번호를 사용하면 메일의 견고 함을 강화할 수 있습니다. 전자 메일의 제목은 "megaloman"이고 첨부 된 문서의 이름은 "scan.megaloman.doc"이며이 일치 항목은 약간의 신뢰성을 추가합니다. 그리고 만약 그녀가“실패하면 당신에게 책임이있다”(그리고 첨부 파일로 파일을 여는 방법을 찾는 유일한 방법) 인 경우 책임감있게 피해자를 위협하는 것은 케이크 위에 장식하는 것이다.

이 파열 조작 칵테일은 가해자가 원하는 것을 얻을 수 있도록 도와주는 강력한 도구입니다. 따라서 많은 사람들이이 사기에 노출 될 위험이 매우 높습니다.

이제 사용자가 첨부 파일에서 파일을 열면 어떻게되는지 봅시다.

악성 코드 : 먼저 숨기고 공격

물론 소환장과 공통점이 없습니다. 실제로는 코모도 위협 연구소 분석가들은 감염된 컴퓨터의 파일을 암호화하고 몸값을 해독하여 몸값을 해독하는 교활하고 정교한 시그마 랜섬웨어의 새로운 변종입니다.

시그마 랜섬웨어 기능 :

이 새로운 시그마 변형에서 특별한 점은 사용자에게 비밀번호 입력을 요청한다는 것입니다. 음… 멀웨어 암호? 전체적으로 이상하게 들릴 수 있지만 실제로는 탐지의 목적으로 멀웨어를 더 난독 화하는 명확한 목적이 있습니다.

그러나 사용자가 비밀번호를 입력하더라도 파일은 즉시 실행되지 않습니다. 피해자의 컴퓨터에서 매크로를 끄면 확실하게 끄도록 요청합니다. 이것이 어떻게 전체 공격자의 전략에 맞는지 주목하십시오. 법원에서 보낸 메시지 인 경우 확실히 보호 된 문서가 될 수 있습니까?

그러나 실제로이 파일에는 피해자의 컴퓨터에 맬웨어를 설치하기 위해 실행해야하는 악성 VBScript가 포함되어 있습니다. 공격자의 서버에서 맬웨어의 다음 부분을 다운로드하여 % TEMP % 폴더에 저장하고 다음과 같이 위장합니다. svchost.exe를 처리하고 실행합니다. 이 svchost.exe를 맬웨어의 한 부분을 더 다운로드하기위한 스포이드 역할을합니다. 그런 다음 다소 긴 작업 체인을 통해 – 더 강력한 난독 화를 위해 악성 페이로드를 완료하고 실행합니다.

멀웨어는 탐지를 숨기거나 피하는 다양한 트릭으로 정말 인상적입니다. 실행하기 전에 가상 머신 또는 샌드 박스의 환경을 확인합니다. 하나를 발견하면 맬웨어가 스스로 죽입니다. 악의적 인 프로세스 및 레지스트리 항목을 "svchost.exe"및 "chrome"과 같은 합법적 인 것으로 위장합니다. 그게 전부가 아닙니다.

가까운 것과는 달리 랜섬 친척들, Sigma는 즉시 행동하지 않고 숨어 숨어 정찰을 먼저합니다. 귀중한 파일 목록을 생성하고 계수 한 후이 값을 피해자의 컴퓨터에 대한 다른 정보와 함께 C & C 서버로 보냅니다. 파일이 발견되지 않으면 Sigma는 자신을 삭제합니다. 또한 국가 위치가 러시아 연방 또는 우크라이나 인 경우 컴퓨터를 감염시키지 않습니다.

Command-and-Control 서버에 대한 맬웨어 연결도 복잡합니다. 서버가 TOR 기반이므로 Sigma는 일련의 단계를 수행합니다.

1. 다음 링크를 사용하여 TOR 소프트웨어를 다운로드하십시오. https://archive.torproject.org/tor-package-archive/torbrowser/7.0/tor-win32-0.3.0.7.zip
2. System.zip 파일로 % APPDATA %에 저장합니다
3. % APPDATA % MicrosoftYOUR_SYSTEM_ID에 압축을 풉니 다.
4. System.zip을 삭제합니다
Tortor.exe의 이름을 svchost.exe로 바꿉니다.
6. 그것을 실행
7. 잠시 기다렸다가 요청을 보냅니다.

그 후에 만 ​​시그마는 피해자의 컴퓨터에서 파일을 암호화하기 시작합니다. 그러면 몸값 메모가 감염된 컴퓨터의 화면을 캡처합니다.

그리고 ... finita la commedia. 피해자가 이전에 백업을 준비하지 않은 경우 데이터가 손실됩니다. 복원 할 방법이 없습니다.

보호 : 반격하는 법

Comodo의 책임자 인 Fatih Orhan은“사회 공학 기술과 기술 설계가 양면에서 매우 정교한 멀웨어에 직면하는 것은 보안을 아는 사용자에게도 어려운 과제입니다. 위협 연구소. “교활한 공격으로부터 보호하려면 사람들이 인식하는 것보다 더 안정적인 것이 필요합니다. 이 경우 실제 솔루션은 누군가가 사기꾼의 미끼를 가져와 맬웨어를 실행하더라도 자산이 손상되지 않도록 100 % 보증해야합니다.

그것은 정확히 무엇 독점 코모도 자동 억제 기술 알려지지 않은 파일은 안전한 환경에 자동으로 저장되어 호스트, 시스템 또는 네트워크에 해를 끼치 지 않고 실행할 수 있습니다. Comodo 분석가가 조사 할 때까지이 환경에 남아 있습니다. 그렇기 때문에 코모도 고객 중 누구도이 교활한 공격으로 고통받지 못했습니다.”

와 안전한 라이브 코모도!

다음은 공격에 사용 된 히트 맵 및 IP입니다.

공격은 이메일을 통해 32 개의 러시아 기반 (상트 페테르부르크) IP에서 수행되었습니다. Kristopher.Franko@uscourtsgov.com 공격을 위해 특별히 생성 된 도메인 10 년 2018 월 02 일 20:14 UTC에 시작하여 35:XNUMX UTC에 끝났습니다.

이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/pc-security/subpoena-new-variant-of-sigma-ransomware/