매그니배르(Magniber) 라바 카지노, 타이포스쿼팅 방식을 통해 또 다시 유포중!
매그니베르라바 카지노가또다시타이포스쿼팅방식을이용하여유포되고있어사용자들의주의가필요합니다.
*타이포스쿼팅
사용자가 도메인 주소를 입력하다가 잘못 입력하거나 철자가 틀리는 경우를 이용하여, 미리 관련 도메인을 등록해 놓고 해당 도메인을 이용하여 진행되는 공격
ESRC에서는올해2월,타이포스쿼팅방식을이용한매그니베르라바 카지노에대해주의를당부한바있습니다.
▶
이번에 발견된 공격은 공격자가 매그니베르를 유포한 적이 있는 여러 도메인들을 사용하였으며, 기존과 동일하게 msi 파일을 내려주는 라바 카지노 사용합니다. 또한 ip체크를 통하여 사용자가 해당 페이지에 재 방문할 경우 다른 정상 페이지로 리디렉션 시키는 방식도 동일합니다.
[그림 1] 캡챠 페이지
다만, 이번 공격에서는 기존에 없던 봇 여부를 판단하기 위한 캡챠 페이지가 추가되었으며, 봇이 아님이 검증된 후에만 파일을 내려줍니다.
또한이번에는 Win10 뿐만 아니라 Win11도 감염시키기 때문에 기존의 'Critical.Update.Win10.0-kb8262760.msi' 처럼 파일명에 윈도우 버전을 명시했던 부분이 삭제되었고, 대신 'MS.Upgrade.Database.Cloud.msi' 파일명이 사용되었습니다. 접속하는 사용자들 마다 동일한 파일명의 랜덤한 파일을 내려줍니다.
[그림 2] 자동으로 msi 파일 내려주는 화면
만일 사용자가 자동으로 다운로드 된 msi 파일을 실행하면 Magniber 라바 카지노가 실행되며,실행 후에는 '기존 파일명.rovmdohq'로 변경하며, README.html 랜섬노트를 생성합니다.
[그림 3] 라바 카지노노트
사용자 여러분들께서는 홈페이지에 접속할 때 URL이 맞는지 한번 더 확인하시는 습관을 길러야 하며, 수상한 페이지에서 자동으로 다운로드 된 파일에 대해서는 실행하지 마시고 바로 삭제하시기 바랍니다.
현재알약에서는해당악성코드에대하여Trojan.Ransom.라바 카지노로탐지중에있습니다.
