본문으로 바로가기
54354096 0112019081354354096 08 0802001 6.0.10-RELEASE 11 머니투데이 0

'회사명_마케팅(홍길동)' 입사지원서, 내려받으니 '랜섬웨어'

글자크기
[머니투데이 김주현 기자] [이스트시큐리티 "입사지원서 사칭 악성 메일 '소디노키비' 랜섬웨어 유포돼"]

머니투데이

입사지원서로 위장해 유포되고 있는 '소디노키비' 랜섬웨어 메일 화면/사진제공=이스트시큐리티

<이미지를 클릭하시면 크게 보실 수 있습니다>



통합보안 전문 기업 이스트시큐리티 시큐리티대응센터(ESRC)는 입사지원서 사칭 악성 메일로 '소디노키비' 랜섬웨어가 유포되고 있다고 13일 경고했다.

이스트시큐리티는 이번 공격이 기존 비너스락커 유포 조직의 소행으로 추정된다고 밝혔다. 그러면서 비너스락커 유포 당시보다 진화된 공격 형태로 '소디노키비' 랜섬웨어가 유포되고 있다고 분석했다.

이스트시큐리티에 따르면 공격자는 구직자가 입사지원서를 제출하는 것처럼 사칭한 이메일로 랜섬웨어를 유포하고 있다. 해당 메일은 유창한 한글 표기법을 사용하고 있고 메일 제목도 '회사명_직무(이름)'순으로 기재해 수신자가 실제 입사지원서로 착각해 첨부 파일을 열어보게 유도하고 있다.

메일에 첨부된 입사지원서 파일은 압축파일 형식이다. 수신자가 압축파일을 풀면 실제 파일처럼 위장된 '이력서.pdf', '포트폴리오.pdf' 이름의 두 가지 파일이 나타난다. 변종에 따라 한글파일도 존재한다.

첨부 파일은 악성 실행파일(EXE)이다. 공격자는 문서 파일 이름에 긴 공백을 삽입해 수신자가 악성 파일을 PDF나 HWP 문서로 착각해 열어보도록 조작했다. 파일을 열면 즉시 '소디노키비' 랜섬웨어가 내려받아지고 수신자 PC의 주요 데이터가 암호화된다.

이스트시큐리티는 공격자가 한국어 윈도(Windows) 운영체제를 쓰고 있다고 추측했다. 또 기존 공격과 달리 사용자 PC 내 암호화폐 지갑 관련 정보를 수집하는 기능을 먼저 수행하고 이후에 다운로더로 랜섬웨어를 추가로 설치하고 있다고 했다.

현재 이스트시큐리티는 한국인터넷진흥원과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 또 보안 백신 프로그램 알약을 업데이트 해 공격에 사용된 악성코드를 탐지하고 차단할 수 있게 했다.

문종현 ESRC 센터장은 "기존 갠드크랩 랜섬웨어 시절부터 사용하던 첨부파일 유포 방식에 다운로더가 추가됐다"며 "이 다운로더는 소디노키비 랜섬웨어 유포 외에도 정상적인 모듈을 다수 다운로드하고 암호화폐 지갑 정보를 탈취하는 기능도 추가됐다"고 말했다.

김주현 기자 naro@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>