본문 바로가기

악성코드 정보

이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15)

11월 15일(목) 국내 사용자를 대상으로 입사 지원서를 가장한 갠드크랩 랜섬웨어 유포 시도가 확인되었다. 이메일을 통해 유포되고 있으며, 첨부파일이 아닌 외부 링크를 통해 *.DOC 형식의 문서를 다운로드 받도록 유도한다. 다운로드 받은 워드 문서파일에 포함된 악성 매크로 코드에 의해 갠드크랩 랜섬웨어가 다운로드 및 실행되는 구조이다. 아래의 [그림-1]은 11월 15일에 유포된 이메일의 내용이며, 이력서 다운로드 클릭 시 "donghakacademy.ddns.net/KIMJYONG.doc" 파일을 다운로드 받는다.




[그림-1] 이메일 내용


메일을 보낸사람은 "kimjyoong1121@soojawonpicture.com"으로 되어있으며, 실제 서비스되는 도메인이 아닌 것으로 확인되었다. 아래의 [그림-2]에서 처럼 11월 10일에 동일인에 의해 등록된 아래의 도메인들이 유사한 공격에 사용될 것으로 추정된다.

- https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q (출처)


공격자가 사용할 것으로 추정되는 발신자 메일주소 도메인 리스트

- samkookinformation.com

- soojawonpicture.com

- noliteomoyeo.com

- haneuldongyang.com

- hangeulnaraman.com

- servicegoogletech.com


[그림-2] 공격에 사용된 도메인



V3 제품에서는 11월 15일자에 아래와 같이 탐지한 이력이 확인되었다.



지원서를 가장하여 유포되는 방식은 지속적으로 이용되고 있는 사회공학적 공격방식으로 출처가 불분명한 사람에게서 수신한 메일의 첨부파일은 실행 전 주의가 필요하며, 백신 프로그램을 최신으로 업데이트하는 작업이 필요하다.



[Update - 2018.11.19]


11월 19일자에도 예상했던 발신자 주소 (samkookinformation.com)로 부터 유사한 공격시도가 확인되었으며, 이번에는 실행파일 형태로 다운로드되는 구조이다.



그 외에도 아래의 이름으로도 유포된 이력이 확인되어 사용자 주의가 필요하다.


- 출석 요구서(작성후 출석시 지참요망).exe

- 박혜윤_이력서(181119)열심히하겠습니다.exe

- 경력증명서_양식.exe

- rix_폰트.exe

- 2018_달력.exe

- 카운터스트라이크_소스.exe

- 최신_영화_사이트.exe

- 폰허브_영상.exe

- 스팀_속도_빠르게.exe