입사지원서로 위장한 Makop 랜섬웨어 유포 주의!
ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다.
메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다.
● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe
● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe
[그림 1] 입사지원서로 위장한 메일 내용
메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와 같은 파일 2개를 확인할 수 있게 된다.
[그림 2] 첨부파일 압축 해제
엑셀 아이콘으로 위장된 실행 파일(EXE)이며 두 파일은 같은 파일이나 파일명만 다르게 작성되어 있다. 해당 파일을 실행하게 되면 아무런 메시지 없이 자동으로 파일 암호화가 이루어지며 파일명과 확장자가 아래와 같이 바뀌게 된다.
[파일명 및 확장자 변경]
● 변경 전 : A.pdf
● 변경 후 : A.pdf.[랜덤문자 8글자].[pecunia0318@airmail.cc].pecunia
[그림 3] 파일 암호화 전 & 후
그리고 암호화 된 폴더마다 readme-warning.txt 랜섬노트 파일이 생성되게 되며 해당 랜섬노트를 확인해보면 아래와 같은 글이 적혀있다.
[그림 4] 해당 랜섬웨어 랜섬 노트
해당 랜섬웨어의 파일 암호화 후 추가되는 확장자는 ‘Pecunia’이지만 유포 방식 및 랜섬노트 내용과 파일 암호화 후 파일명이 변경되는 형식이 기존 Makop 랜섬웨어 같은 것으로 보아 동일 류로 파악된다.(기존 Makop 랜섬웨어는 암호화 후 추가되는 확장자로 ‘makop’스트링 사용) Makop 랜섬웨어는 1년전부터 꾸준히 이러한 방식으로 유포를 진행하고 있어 지속적으로 주의가 필요하다.
● 이전 Makop 랜섬웨어 게시글 참고
공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06) – ASEC BLOG
ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 …
출처를 알 수 없는 메일의 경우 열람 시 첨부파일을 함부로 실행하지 않도록 해야하며, 첨부파일 실행 시 아이콘이 문서 파일로 보이더라도 파일 확장자를 꼭 확인하여 실행파일의 경우 열지 않도록 해야한다.
현재 V3에서는 아래와 같은 진단명으로 진단하고 있다.
[그림 5] V3 진단
[파일 진단]
Trojan/Win.Ransomlock.C4413210
[행위 진단]
Malware/MDP.Behavior.M3635
Malware/MDP.SystemManipulation.M2255
Malware/MDP.Ransom.M1214
