728x90
미국 정부 사이트에서 호스팅된 Cerber ransomware로 이어지는 악성 JavaScript 다운로더가 발견되었다. 분석을 어렵게 만들기 위해 JavaScript에는 코드 흐름에 아무것도 추가하지 않고
스크립트만 난독화하는 여러 가지 기능이 있다. 또한, 여러 변수에 부분 명령을 저장하고 Invoke-Expression을 사용하여 실행하는 난독화 된 PowerShell 명령을 가지고 있다.
이는 실제로 알려진 악의적인 사이트에서 gif 실행 파일을 다운로드 할 수 있도록 한다. 현재 링크는 다운된 상태이다. 그러나 사전에 수집된 데이터를 분석한 결과, 이 특정 페이로드는 SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6이 포함 된 Cerber ransomware임을 확인했다.
이를 발견한 단체는 8월 30일에 Twitter를 통해 미국 정부 사이트에 멀웨어가 있음을 밝혔다. 그 결과 몇 시간 이내에 맬웨어 링크가 제거되었다.
https://blog.newskysecurity.com/us-government-site-unwittingly-hosting-malware-f1f4f11b6a1d]
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| Apache Structs2의 치명적인 결함으로 해커가 웹 서버에서 악성 코드 실행 가능해 (CVE-2017-9805) (0) | 2017.09.06 |
|---|---|
| 새로운 모바일 악성코드 mRAT 변종 xRAT 출현 (0) | 2017.09.06 |
| Banking Trojan은 이제 은행 포털뿐만 아니라 Coinbase 사용자를 대상 (0) | 2017.09.05 |
| 호주 빅토리아주, 사이버보안 전략 발표 및 시행 (0) | 2017.09.05 |
| 인스타그램 해킹사고로 인하여 유명인 연락처 유출 (0) | 2017.09.05 |