ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다.
메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다.
● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe
● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe
메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와 같은 파일 2개를 확인할 수 있게 된다.
엑셀 아이콘으로 위장된 실행 파일(EXE)이며 두 파일은 같은 파일이나 파일명만 다르게 작성되어 있다. 해당 파일을 실행하게 되면 아무런 메시지 없이 자동으로 파일 암호화가 이루어지며 파일명과 확장자가 아래와 같이 바뀌게 된다.
[파일명 및 확장자 변경]
● 변경 전 : A.pdf
● 변경 후 : A.pdf.[랜덤문자 8글자].[pecunia0318@airmail.cc].pecunia
그리고 암호화 된 폴더마다 readme-warning.txt 랜섬노트 파일이 생성되게 되며 해당 랜섬노트를 확인해보면 아래와 같은 글이 적혀있다.
해당 랜섬웨어의 파일 암호화 후 추가되는 확장자는 ‘Pecunia’이지만 유포 방식 및 랜섬노트 내용과 파일 암호화 후 파일명이 변경되는 형식이 기존 Makop 랜섬웨어 같은 것으로 보아 동일 류로 파악된다.(기존 Makop 랜섬웨어는 암호화 후 추가되는 확장자로 ‘makop’스트링 사용) Makop 랜섬웨어는 1년전부터 꾸준히 이러한 방식으로 유포를 진행하고 있어 지속적으로 주의가 필요하다.
● 이전 Makop 랜섬웨어 게시글 참고
출처를 알 수 없는 메일의 경우 열람 시 첨부파일을 함부로 실행하지 않도록 해야하며, 첨부파일 실행 시 아이콘이 문서 파일로 보이더라도 파일 확장자를 꼭 확인하여 실행파일의 경우 열지 않도록 해야한다.
현재 V3에서는 아래와 같은 진단명으로 진단하고 있다.
[파일 진단]
Trojan/Win.Ransomlock.C4413210
[행위 진단]
Malware/MDP.Behavior.M3635
Malware/MDP.SystemManipulation.M2255
Malware/MDP.Ransom.M1214
[IOC 정보]
9d7fc15c4593c51d3ce0d97f425602c6
Categories:악성코드 정보