makop

이력서로 위장한 Makop 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 이력서로 위장한 Makop 랜섬웨어가 국내 사용자를 대상으로 유포 중임을 확인하였다. Makop 랜섬웨어는 작년부터 꾸준하게 변형되어 유포되던 악성코드로 ASEC 블로그를 통해 해당 내용을 소개해왔으며, 이전과 동일하게 NSIS (Nullsoft Scriptable Install System) 형태이다. 이력서로 위장한 방식은 기업들의 채용 기간에 맞춰 채용 담당자를 타겟으로 유포하는 것으로 보인다. 지난 상반기 채용 기간에 해당 랜섬웨어가 유포되었으며, 이번에도 하반기 채용 기간에 맞춰 유포된 것으로 추정된다. 현재 유포되고 있는 악성 메일 및 파일명은 아래와 같다. 메일 내 압축된 악성 파일을 첨부하고 있으며, 메일의 제목…

입사지원서로 위장한 Makop 랜섬웨어 유포 주의!

ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다. 메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다. ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe ● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe  메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와…

공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06)

ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 메일에 첨부 된 ‘전산 및…

국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부)

ASEC 분석팀에서는 올해 4월에 이력서로 위장하여 유포되던 makop 랜섬웨어가 8월부터 다시 활발하게 유포되고 있음을 확인하였다. 2020/04/13 – [악성코드 정보] – [주의] 이력서로 위장한 makop 랜섬웨어 (04.13)  해당 랜섬웨어는 여전히 이메일 형태로 유포되고 있으며 HWP, PDF와 같은 문서 형태의 실행 파일(.exe) 아이콘으로 위장하고 있다. 20200908(경력사항도같이확인부탁드립니다 열심히하겠습니다).exe 입사지원서_20200907(경력사항도같이기재되어있습니다 참고바랍니다 열심히하겠습니다).exe 경력사항_200828(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200826(경력사항도 같이 확인부탁드리겠습니다 열심히하겠습니다).exe 경력사항_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히하겠습니다 감사합니다).exe 문의사항(급하게 문의사항이 있어서 메일드리니 빠르게 처리 부탁드릴께요).exe 1.문의사항(아무래도 긴급한 일이라 부탁좀 드리겠습니다 감사합니다).exe 포트폴리오_200824(경력사항도 같이 기재하였으니 확인부탁드릴께요 열심히…

[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다.  최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 “MalPE”유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe https://asec.ahnlab.com/1316 NSIS(Nullsoft Scriptable Install System)는 본래 프로그램의 설치파일을 제작하기…