웹브라우저 IE에서만 발견됐던 랜섬웨어 매그니베르 최근 공객대상 옮겨
위장 사이트서 윈도 업데이트 파일로 위장해 사용자에게 설치 유도
보안업계 “포털사이트 통해 접속 등으로 타이포스쿼팅 피할 수 있어”
마이크로소프트(MS) 웹브라우저 '인터넷익스플로러'(IE)를 기반으로 유포됐던 랜섬웨어 매그니베르가 IE 지원 종료 후 웨일, 엣지, 크롬 등 브라우저를 통해 유포되고 있어 이용자들의 각별한 주의가 요구된다.
22일 안랩, 이스트시큐리티 등 보안업계에 따르면 매그니베르는 사용자가 도메인을 입력하는 과정에서 오타가 발생할 경우 공격자가 만들어 놓은 위장 사이트로 연결해 진행되는 타이포스쿼팅 공격 방식으로 유포되고 있다.
기존에는 매그니베르가 주로 IE를 통해서만 감염이 확인돼 다른 웹브라우저를 사용하면 비교적 안전한 것으로 알려졌다. 하지만 최근 IE 지원 종료로 공격 대상을 찾지 못한 매그니베르가 엣지, 크롬 등으로 옮겨 온 것으로 확인됐다.
보안업계에 따르면 사용자가 위장 사이트에 접속할 경우, 위장 사이트는 방문자가 사용하는 웹 브라우저 정보를 확인한다. 이후 크롬이나 엣지에 최적화된 다른 위장 페이지를 보여주며 윈도 파일 설치를 유도한다.
최근에는 윈도 설치 파일에서 윈도 제어판 기능을 추가하는 확장자 파일(.cpl)로 유포되는 사례가 늘고 있다. 그전까지는 주로 업데이트 파일로 위장한 윈도 설치 파일(.msi)로 랜섬웨어 감염을 시도했다.
이때 매그니베르는 크롬과 엣지 사용자에 따라 다른 파일 형식으로 공격을 시도한다. 크롬 사용자에게는 .cpl 파일로 다운로드되며, 엣지 사용자에게는.cpl 파일이 포함된 .zip 파일이 다운로드된다.
매그니베르는 공격 대상 사용자에게 사이트의 정상 접속을 위해서는 해당 파일 설치가 필요하다는 안내 메시지를 띄운다. 사용자가 이에 속아 해당파일을 실행하면 사용 중인 컴퓨터 등은 매그니베르에 감염되게 된다.
안랩 관계자는 “현재 매그니베르는 웹브라우저인 크롬, 엣지, 웨일 사용자들 대상으로 타이포스쿼팅으로 유포되고 있다”며 “사용자는 잘못 입력한 인터넷 주소가 랜섬웨어 유포로 연결될 수 있기 때문에 주의해야 한다”라고 당부했다.
이스트시큐리티 관계자는 “직접 주소 입력보다는 포털 사이트 검색을 통해 접속하는 것이 타이포스쿼팅을 예방하는 한 가지 방법”이라고 조언했다.