본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

Mallox 바카라 전략 주의!

보안공지 2021-12-09


바카라 전략

Mallox 바카라 전략가 유표중에 있어 사용자들의 주의가 필요합니다.

Mallox바카라 전략는드롭퍼형식을띄고있으며,내부에서지속적으로파일을해제하여드랍하는특징을갖고있으며,여러번의dll드랍을통하여최종적으로Mallox바카라 전략파일을내려받습니다.

이렇게 수 차례의 dll드랍은 여러가지의 연산을 통해 드랍되는데, 이는 분석가들의 분석을 어렵게 하기 위한 목적입니다.

최초 바카라 전략 유포 파일은 .exe 형태로 유포되며, 해당 exe파일이사용자PC에서실행이되면리소스에서첫번째dll을로드합니다.

바카라 전략
[그림 1] 최초 exe 에서 로드 되는 첫번째 dll 파일



dll이로드되면해당첫번째dll에서2차로dll을로드합니다.

바카라 전략
[그림 2] 첫번째 dll에서 로드되는 두번째 dll파일



2차로 로드된 dll은 또 한번 3번째 dll을 로드하며, 3번째 dll은 최종적으로 공격자가 설정해 둔 서버에 접속하여 Mallox 바카라 전략를 내려받습니다.

[그림 3] 최종 dll이 서버에 접속하여 최종적으로 내려받는 Mallox 바카라 전략

Mallox 바카라 전략가 실행되면, 배치파일을 이용하여 특정 관리자/사용자 계정명 획득을 통하여 암호화 할 수 있도록 다수의 명령어를 실행하며, Microsoft .NET Framework 정상 파일을 통하여 암호화를 진행합니다.

파일 암호화 후에는 확장자를 모두 기존 파일명.mallox로 변경하며, RECOVERY INFORMATION.txt 파일명을 가진 랜섬노트를 띄웁니다.

[그림 4] 랜섬노트

최근 mallox 바카라 전략 감염사례가 증가한 만큼, 기업 및 개인 사용자들의 각별한 주의가 필요합니다. 사용하시는 SW를 항상 최신 버전으로 유지하기를 권고드리며, 만일의 상황을 대비하여 주기적인 백업을 통하여 소중한 정보를 보호하시기를 바랍니다.

현재 알약에서는 해당 바카라 전략에 대하여Trojan.Ransom.Filecoder로 탐지중에 있습니다.