1. 요약

2018.05.09 오후부터 채용 정보사이트에 기재된 인사담당자를 대상으로 한 이력서 형태의 랜섬웨어가 집중 유포되고 있다. 입사지원자를 사칭한 메일로 인사담당자가 메일 본문에 포함된 링크를 클릭하면 랜섬웨어 다운로드 페이지로 연결된다. 해당 페이지에서 이력서로 위장한 압축 파일을 다운로드 받아 실행 시 GandCrab 랜섬웨어에 감염된다.

[그림1 유포_경로]

2. 유포 및 감염 방법

사회공학 기법을 이용한 스팸메일로 채용 정보사이트에 기재된 채용담당자를 공격대상으로 삼았다. 아래와 같이 이력서엔 소개 글과 함께 이력서를 첨부하였습니다라는 링크 클릭을 유도하는데 이 서버(www.d****aw/doc.php)를 접속할 시 지원자 명의 압축파일을 다운로드 한다.

[그림2 지원_메일]

이 압축 파일(min_hee_resume.zip)을 해제하면 스크립트 파일(resume.js)이 존재한다.

[그림3 압축_파일]

이 스크립트는 난독화 되어 있어 아래와 같이 알아 볼 수 없는 문자열로 보이는데 복호화를 했을 경우 아래와 같이 랜섬웨어 유포 페이지((www.yo****p.com/update.php)등을 확인할 수 있으며 기능은 이 서버에 접속해 랜섬웨어(랜덤_이름).exe를 다운로드 후 실행한다.

[그림4 난독화__스크립트]


[
그림5 복호화__URL스트링]

3. 감염 예방 방법

 의심스러운 파일은 다운로드 및 실행하는 것을 지양해야 하며 V3의 최신 버전에선 탐지가 되기 때문에 주기적인 보안 업데이트가 필요하다.

4. 진단명

1) 스크립트 파일 : JS/Obfus.S258

2) EXE 파일 : Win-Trojan/Gandcrab.Exp

3) 행위 진단 : Malware/MDP.Create.M1179
 


Posted by 분석팀