IE서 엣지·크롬으로 옮겨간 매그니베르…랜섬웨어 주의보

등록 2022.08.23 06:20:00

웹브라우저 IE에서만 발견됐던 랜섬웨어 매그니베르 최근 공객대상 옮겨

위장 사이트서 윈도 업데이트 파일로 위장해 사용자에게 설치 유도

보안업계 “포털사이트 통해 접속 등으로 타이포스쿼팅 피할 수 있어”

웹브라우저 인터넷익스플로러(IE)를 중심으로 유포됐던 랜섬웨어 매그니베르가 IE 지원 종료 후 엣지, 크롬 등 브라우저를 통해 유포되고 있는 것으로 나타났다. 사진은 웹브라우저 엣지를 통해 매그니베르 유포페이지에 접속한 모습. (사진=안랩 제공) *재판매 및 DB 금지

[서울=뉴시스]송종호 기자 = 마이크로소프트(MS) 웹브라우저 '인터넷익스플로러'(IE)를 기반으로 유포됐던 랜섬웨어 매그니베르가 IE 지원 종료 후 엣지, 크롬 등 브라우저를 통해 유포되고 있어 이용자들의 각별한 주의가 요구된다.

22일 안랩, 이스트시큐리티 등 보안업계에 따르면 매그니베르는 사용자가 도메인을 입력하는 과정에서 오타가 발생할 경우 공격자가 만들어 놓은 위장 사이트로 연결해 진행되는 타이포스쿼팅 공격 방식으로 유포되고 있다.

기존에는 매그니베르가 주로 IE를 통해서만 감염이 확인돼 다른 웹브라우저를 사용하면 비교적 안전한 것으로 알려졌다. 하지만 최근 IE 지원 종료로 공격 대상을 찾지 못한 매그니베르가 엣지, 크롬 등으로 옮겨 온 것으로 확인됐다.

보안업계에 따르면 사용자가 위장 사이트에 접속할 경우, 위장 사이트는 방문자가 사용하는 웹 브라우저 정보를 확인한다. 이후 크롬이나 엣지에 최적화된 다른 위장 페이지를 보여주며 윈도 파일 설치를 유도한다.

최근에는 윈도 설치 파일에서 윈도 제어판 기능을 추가하는 확장자 파일(.cpl)로 유포되는 사례가 늘고 있다. 그전까지는 주로 업데이트 파일로 위장한 윈도 설치 파일(.msi)로 랜섬웨어 감염을 시도했다.

이때 매그니베르는 크롬과 엣지 사용자에 따라 다른 파일 형식으로 공격을 시도한다. 크롬 사용자에게는 .cpl 파일로 다운로드되며, 엣지 사용자에게는.cpl 파일이 포함된 .zip 파일이 다운로드된다.

매그니베르는 공격 대상 사용자에게 사이트의 정상 접속을 위해서는 해당 파일 설치가 필요하다는 안내 메시지를 띄운다. 사용자가 이에 속아 해당파일을 실행하면 사용 중인 컴퓨터 등은 매그니베르에 감염되게 된다.

이때 주의해야 할 점은 매그니베르가 숨겨진 파일 내부에 유효한 인증서가 들어있다는 것이다. 이에 윈도에서 설치 시 해당 파일을 신뢰할 수 있는 것으로 판단한다. 때문에 정보보안 전문가들은 파일 설치 전 각자 보유한 백신 등을 통해 사전 검사를 진행해야 한다고 강조했다.

공격자의 의도대로 매그니베르가 사용자 컴퓨터를 장악하면 내부 파일은 암호화된다. 이때 암호화된 파일마다 README.html 파일명의 랜섬노트를 생성한다. 보안업계에 따르면 공격자는 이후 파일 복구를 명목으로 금전을 요구하는 전형적인 랜섬웨어 수법을 구사한다. 랜섬노트는 파일 복구를 위해 돈을 지불 하는 과정 등을 설명한 파일을 말한다.

정보보안 업계는 웹브라우저를 이용할 때 타이포스쿼팅을 피하는 것이 매그니베르를 예방하는 최선의 방법이라고 조언했다.

안랩 관계자는 “현재 매그니베르는 웹브라우저인 크롬, 엣지 사용자들 대상으로 타이포스쿼팅으로 유포되고 있다”며 “사용자는 잘못 입력한 인터넷 주소가 랜섬웨어 유포로 연결될 수 있기 때문에 주의해야 한다”라고 당부했다.

이스트시큐리티 관계자는 “직접 주소 입력보다는 포털 사이트 검색을 통해 접속하는 것이 타이포스쿼팅을 예방하는 한 가지 방법”이라고 조언했다.

◎공감언론 뉴시스 [email protected]