[아이뉴스24 최은정 기자] 입사지원서를 사칭한 악성 메일을 통해 랜섬웨어가 유포되고 있어 이용자 주의가 요구된다. 공격자는 첨부 파일 이름에 긴 공백을 넣어 악성 파일임을 알아채기 어렵게 했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 입사지원서를 사칭한 메일을 통해 랜섬웨어가 유포되고 있다고 12일 알렸다.
해당 파일을 다운로드 받게 되면 공격자의 명령제어서버(C2)와 통신해 '소디노키비' 랜섬웨어를 내려받게 돼 주요 데이터가 암호화된다.
![입사지원서로 위장한 이메일 화면 [이미지=ESRC]](https://img-lb.inews24.com/image_gisa/201908/156560427134_1_190531.jpg)
공격자는 구직자가 입사지원서를 제출하는 것처럼 꾸몄다. '회사명_직무(이름)'라는 메일 제목으로 내용도 자연스러운 한국말로 적혀 있다는 게 회사 측 설명이다. 첨부 파일은 '7z' 형식의 압축 파일로 확인됐다. 수신자가 압축을 해제하면 실제 입사지원서 제출 파일처럼 위장된 '이력서.pdf', '포트폴리오.pdf' 등의 파일이 나타난다.
공격자는 파일 이름에 긴 공백을 넣어 수신자가 'exe' 파일이라는 사실을 확인하기 힘들게 만들었다. 또 악성코드 파일명에 '_복사본'이라는 텍스트가 추가됐는데, 이는 공격자가 자신이 만든 악성 exe 파일을 복사하면서 붙여진 것으로 추정된다. 이 때문에 공격자가 한국어 윈도 운영제체를 쓰고 있다는 것으로도 해석된다.
과거 이메일에 랜섬웨어 파일을 직접 첨부해 유포하던 방식과 달리 다운로더를 통해 랜섬웨어를 추가로 설치하게 하는 것도 이번 공격의 특징이다.
![악성 실행파일 이름에 긴 공백을 넣어 사용자가 착각하도록 만들었다. [이미지=ESRC]](https://img-lb.inews24.com/image_gisa/201908/1565604272108_2_190726.jpg)
ESRC는 이번 공격이 기존 '비너스락커' 악성코드 유포 조직 소행으로 추정했다.
문종현 이스트시큐리티 이사는 "해외 C2 서버에 한국어 버전 베리즈웹쉐어 파일 공유 서버가 구축된 것이 확인됐다"며 "이 베리즈웹쉐어 서버는 지난해 말 비너스락커 조직이 갠드크랩 유포에 활용했던 방식이라는 점에서 유사하다"고 설명했다.
현재 이스트시큐리티는 한국인터넷진흥원(KISA)과 협력을 통해 해당 악성코드 명령제어 서버를 차단하고, 긴급 모니터링 등 조치를 진행중이다. 또한 보안 백신 프로그램 알약에서 공격에 사용된 악성코드를 탐지·차단할 수 있도록 업데이트를 마쳤다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기