네봄이 사이트
[image]
1. 개요
'''안녕하세요.OOO[1]
다운로드하려고 하는데요. 제 친구가 당신의 포럼에서 그것을 보았다고 말해줬습니다. 도움을 주시면 감사드리겠습니다. - 네봄이(질문 작성자)'''
'''여기 다운로드 링크입니다 OOO 다운로드 - Admin(관리자)'''
'''답변해 주셔서 감사합니다! 제가 찾고 있던 겁니다. - 네봄이(질문 작성자)'''
'''Admin, 감사합니다. - 이광국(회원)'''
사용자를 다운로드 링크를 통해 랜섬웨어에 감염시킬려고 유도하는 Q&A 형식의 피싱 사이트이다. 질문 작성자가 네봄이라서 네봄이 사이트라고 불린다.'''문제가 해결되었습니다. 티켓을 이제 닫으셔도 됩니다. - 종희(운영자)'''
이 사이트는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로 부터 로드된다. 유포 게시글은 취약한 워드프레스 환경의 웹 서버를 공격하여 게시되며, 다수의 키워드를 활용하여 자동화된 툴에 의해 생성되는 것으로 추정된다.
질문과 답변 형식으로 구성되어 있으며 다운로드 링크를 클릭할 경우 파일이 다운로드 된다. 네봄이 사이트 출력 및 파일 다운로드 과정은 IP 필터링을 적용하고 있으며, 한 번 파일을 다운로드 한 IP의 경우 한동안 네봄이 사이트가 출력되지 않고 정상적인 사이트가 출력된다.
다운로드된 파일은 검색 키워드가 파일명으로 되어있는 ZIP 압축 파일이며, 내부에는 .js 파일이 포함되어 있다. 압축을 해제 후 .js 파일을 실행 시 랜섬웨어 감염을 위한 행위를 시작한다.
여기서 심어져 나오는 랜섬웨어는 제작년부터 유행하고 있던 바로 Sodinokibi(소디노키비) 랜섬웨어이다.
2. 예방
웹 서핑 중 이러한 페이지를 마주칠 경우 파일을 다운받거나 실행해서는 절때 안 된다! 누가봐도 한국어 문법이 맞지 않는것부터 바로 의심해볼수있겠지만 그래도 믿을 사람은 다 믿고 다운로드 해버려 랜섬웨어에 걸리는 사례가 많이있다.
하지만 엣지, 크롬, 파이어폭스 브라우저로 링크를 클릭하면 사기성 페이지로 나와서 다운로드 하는걸 막을수 있게 해놨다.
아직까지 치료법이나 해독을 위한 암호키가 나오지 않았으니 (2021년 1월 26일 기준.) 혹여나 감염되었다면 포멧하는것이 답이다.
[1] 사용자가 어떤걸 다운로드 하려고 검색하느냐에 따라 그 단어로 쓴다.