비너스락커 조직, 입사지원서 피싱 메일을 통해 Makop 우리 카지노 유포중!

​

10일,입사지원서를위장한피싱메일을통해Makop우리 카지노가대량으로유포중에있어사용자들의주의가필요합니다.

피싱우리 카지노에는"입사지원서_220109(경력사항도같이기재하였습니다잘부탁드립니다)"라는파일명을가진.exe파일이첨부되어있습니다.

해당.exe파일은한글파일아이콘을위장하고있습니다.

사용자가 해당 파일을 정상 파일로 오인하여 실행하면 Makop 우리 카지노 실행됩니다.

해당 샘플은 분석을 어렵게 하기 위하여 NSIS(Nullsoft Scriptable Install System)를 사용하였으며, 라이브러리와 소스를 특정 폴더에 드롭하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게 인젝션을 실행하는 형태로 동작합니다.

이후 볼룸 쉐도우를 삭제하여 복구를 어렵게 하며, 다음 파일을 제외한 다른 파일들을 암호화 합니다.

boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini

암호화후파일확장자를[CD59D479].[baseus0906@goat.si].baseus으로변경하며'readme-warning.txt'제목의우리 카지노노트를띄웁니다.

사용자들은출처가불분명한이우리 카지노에포함된파일을실행하지않도록각별한주의가필요합니다.또한중요한파일들은정기적으로외장매체(USB,외장HDD)등에백업해두는습관을가져야합니다.

현재 알약에서는 해당 우리 카지노에 대해Trojan.Ransom.Makop로 탐지중에 있습니다.