입사지원서

워드양식 입사지원서로 위장한 Zegost 악성코드

ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…

입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe)

2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다. 해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일(“최혜은.7z”) 내부에는 한글문서파일(.hwp)로 보이지만 실제로는 한글문서 아이콘을 갖는 실행파일(*.EXE)이 존재한다. 유포자는 .hwp 확장자와 .exe 확장자 사이에…