StopCrypt 랜섬웨어(또는 STOP)의 새로운 변종이 발견되었습니다. 이 랜섬웨어는 일반적으로 기업을 대상으로 하지 않고 소비자를 대상으로 하여, 수천 달러에서 천 달러 사이의 작은 금액을 요구하는 것이 특징입니다. 이 랜섬웨어는 주로 광고와 불법 사이트를 통해 유포되며, 이러한 프로그램이 설치되면 사용자는 비밀번호 도용 트로이 목마와 STOP 랜섬웨어 등 다양한 악성 소프트웨어에 감염됩니다.
SonicWall의 위협 연구팀은 이번에 새롭게 발견된 StopCrypt 랜섬웨어 변종이 다단계 실행 메커니즘을 사용하고 있다고 밝혔습니다. 이 랜섬웨어는 먼저 관련 없는 DLL 파일을 로드하고, 시간 관련 보안 조치를 우회하는 데 도움이 될 수 있는 일련의 긴 시간 지연 루프를 구현합니다. 그 다음으로, 동적으로 구성된 API 호출을 사용하여 읽기/쓰기 및 실행 권한에 필요한 메모리 공간을 할당하고, 실행 환경을 이해하기 위해 실행 중인 프로세스의 스냅샷을 촬영합니다.
마지막으로, StopCrypt는 합법적인 프로세스를 가로채고 페이로드를 메모리에 은밀하게 실행하기 위해 프로세스를 비우는 단계를 거칩니다. 이 작업은 프로세스 메모리와 제어 흐름을 조작하는 일련의 신중하게 조정된 API 호출을 통해 이루어집니다. 최종 페이로드가 실행되면, 랜섬웨어의 지속성을 확보하고, 중요한 악성 소프트웨어 파일과 디렉토리를 삭제하는 사용자의 권한을 거부하는 접근 제어 목록(ACL)을 수정하고, 페이로드를 5분마다 실행하는 예약된 작업이 생성됩니다.
요약
- StopCrypt 랜섬웨어의 새로운 변종이 발견되었으며, 이는 소비자를 대상으로 하여 작은 금액의 랜섬을 요구하는 것이 특징이다.
- 이 랜섬웨어는 주로 광고와 불법 사이트를 통해 유포되며, 사용자는 이를 통해 다양한 악성 소프트웨어에 감염된다.
- 새로운 변종은 다단계 실행 메커니즘을 사용하며, 이를 통해 보안 도구를 우회하려고 한다.
- 이 랜섬웨어는 합법적인 프로세스를 가로채고 페이로드를 메모리에 은밀하게 실행하는 프로세스를 비우는 단계를 거친다.
- 최종 페이로드가 실행되면, 랜섬웨어의 지속성을 확보하고, 중요한 악성 소프트웨어 파일과 디렉토리를 삭제하는 사용자의 권한을 거부하는 접근 제어 목록(ACL)을 수정하고, 페이로드를 5분마다 실행하는 예약된 작업이 생성된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.