[주의] 이력서와 공정거래위원회를 사칭한 악성코드 유포

ASEC 분석팀은 5월 6일 이력서와 공정거래위원회를 사칭한 악성코드가 다수 유포됨을 확인하였다. 해당 악성코드는 첨부파일 형태로 유포되는 악성코드이며 하나의 압축파일에 파일명은 유사하지만, 성격이 다른 악성코드들이 포함되어 함께 유포되었다.

[그림 1] 이력서 사칭 이메일 악성코드
[그림 2] 공정거래위원회 사칭 이메일 악성코드

유포된 첨부 파일 중 “이력서.zip” 파일의 경우 내부에 2개의 실행 파일이 존재하였다. 먼저 아래 [그림 3]의 좌측 한글 문서(.hwp) 아이콘 실행 파일은 Nemty 랜섬웨어이고, 우측 PDF 문서 (.pdf) 아이콘 실행 파일은 “Vidar”이라고 알려진 정보 유출형 악성코드이다.

[그림 3] 이력서.tar 압축 파일의 내부 실행 파일

사용자 파일을 암호화하는 Nemty 랜섬웨어와 달리 “Vidar” 정보 유출형 악성코드는 로컬 시스템의 인터넷 브라우저, FTP, 메신저 계정정보와 더불어 시스템에 저장된 암호화폐 지갑 정보를 유출하는 기능을 수행한다.

[그림 2] Nemty 랜섬웨어의 랜섬노트

최근 비트코인 가격이 상승함에 따라 암호화폐 지갑 유출 악성코드도 활발하게 유포되는 것으로 보인다. 따라서 사용자는 출처가 불분명한 이메일의 첨부파일을 함부로 열지 않도록 각별한 주의가 필요하다.

[Vidar 악성코드가 접속하는 URL]

  • http[:]//chumashpeople[.]com/freebl3.dll
  • http[:]//chumashpeople[.]com/vcruntime140.dll
  • http[:]//chumashpeople[.]com/mozglue.dll
  • http[:]//chumashpeople[.]com/softokn3.dll
  • http[:]//chumashpeople[.]com/nss3.dll
  • http[:]//chumashpeople[.]com/msvcp140.dll
  • http[:]//chumashpeople[.]com/276

[5월 6일 유포된 악성코드 파일명]

  • 이력서_200506(뽑아주시면 최선을 다해서 열심히 하겠습니다)1.exe -> (NEMTY 랜섬웨어)
  • 이력서_200506(뽑아주시면 최선을 다해서 열심히 하겠습니다).exe -> (Vidar 정보 유출형 악성코드)
  • 전산 및 비전산자료 보존 요청서_20200506(꼭 자료 보존해주세요).exe -> (Vidar 정보 유출형 악성코드)

현재 안랩은 해당 악성코드들에 대해서 파일진단 및 행위 진단으로 차단하고 있다.

[파일진단]

  • Trojan/Win32.MalPe.R335204 (2020.05.06.01)

[행위진단]

  • Malware/MDP.Ransom.M1171 // Nemty 랜섬웨어
Malware/MDP.Ransom.M1171
  • Malware/MDP.SystemManipulation.M2040 // Vidar 정보 유출형 악성코드
Malware/MDP.SystemManipulation.M2040

[URL 차단]

  • http[:]//chumashpeople[.]com/freebl3.dll
  • http[:]//chumashpeople[.]com/vcruntime140.dll
  • http[:]//chumashpeople[.]com/mozglue.dll
  • http[:]//chumashpeople[.]com/softokn3.dll
  • http[:]//chumashpeople[.]com/nss3.dll
  • http[:]//chumashpeople[.]com/msvcp140.dll
  • http[:]//chumashpeople[.]com/276
URL 차단

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments