입사지원서 사칭한 Makop 랜섬웨어 변종 유포중
이스트시큐리티 ESRC, 비너스락커 조직 소행으로 추정
[보안뉴스 권 준 기자] 인력을 채용하는 구인 기업들은 깜빡 속아 넘어갈 정도로 정교한 지원서(이력서) 사칭 악성 이메일이 지난 3월 초에 이어 또 다시 유포되고 있는 것으로 드러났다.
보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 지난 3월초 입사지원서를 사칭해 대량 유포됐던 ‘Makop’ 랜섬웨어 이메일이 최근 다시 유포되고 있다고 밝혔다.
▲지원서 사칭 랜섬웨어 악성 이메일[자료=이스트시큐리티 ESRC]
이번에 발견된 입사지원서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 작성된 문장에 마침표를 생략하며, 이중 압축을 하는 등의 특징으로 볼 때 비너스락커 조직이 유포하는 것으로 추정된다는 게 ESRC 측의 설명이다.
지원서를 사칭하는 메일 특성상 첨부파일에 포함된 문서위장 파일은 대부분 유사한 이름을 사용하고 있는 것도 특징이다. 간혹 지원서 사칭이 아닌 전자상거래 위반행위 관련 내용도 유포된다.
[최근에 유포된 악성 이메일에 첨부된 유사 파일명]
- 지원서_20200303(열심히하겠습니다 잘부탁드립니다).exe
- 포트폴리오_20200303(열심히하겠습니다 잘부탁드립니다).exe
- 부당 전자상거래 위반행위 안내(자료보존 반드시 부탁드립니다).exe
- 지원서_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe
- 포트폴리오_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe
- 이력서(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe
- 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe
▲압축파일 내 이력서와 포트폴리오를 위장한 랜섬웨어[자료=이스트시큐리티 ESRC]
특히, 이번 악성 이메일에서는 기존에 잘 사용하지 않던 tar 압축포맷을 사용했으며, 이중 압축한 파일 내부에 존재하는 파일에 동일한 오타가 있는 것도 주목할 만하다.
만약 메일 수신자가 만약 한글파일 아이콘으로 위장한 해당 악성코드를 지원서나 포트폴리오로 착각하고 열게 될 경우 ‘makop’ 랜섬웨어 변종에 감염된다. 랜섬웨어 감염시 확장자가 원본파일명.[감염PC마다 랜덤으로 생성되는 8자리문자열].[akzhq412@protonmail.com].makop으로 변경되는 것으로 분석됐다.
▲makop 랜섬웨어에 감염된 후 파일 확장자가 변경되고 랜섬노트가 뜨는 화면[자료=이스트시큐리티 ESRC]
지난 3월 유포된 악성 이메일과 비교해보면 복호화 관련해서 공격자가 수신하는 메일주소가 akzhq@protonmail.com에서 akzhq412@protonmail.com으로 앞에 스펠링 ‘akzhq’을 한글로 치환하면 생성되는 ‘마콥’이라는 단어는 동일하지만 뒤에 숫자 ‘412’가 추가된 것을 확인할 수 있다.
이번에 유포된 악성 이메일과 관련해 ESRC 측은 “기존과 특별하게 눈에 띄게 달라진 부분은 없지만, 이력서 또는 지원서를 사칭한 악성 메일은 꾸준히 발생하는 공격이므로 해당 케이스의 메일을 열람할 경우에는 더욱 주의를 기울여야 한다”며, “알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop으로 탐지중이며 지속적으로 모니터링을 진행하고 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]
이스트시큐리티 ESRC, 비너스락커 조직 소행으로 추정
[보안뉴스 권 준 기자] 인력을 채용하는 구인 기업들은 깜빡 속아 넘어갈 정도로 정교한 지원서(이력서) 사칭 악성 이메일이 지난 3월 초에 이어 또 다시 유포되고 있는 것으로 드러났다.
보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 지난 3월초 입사지원서를 사칭해 대량 유포됐던 ‘Makop’ 랜섬웨어 이메일이 최근 다시 유포되고 있다고 밝혔다.
▲지원서 사칭 랜섬웨어 악성 이메일[자료=이스트시큐리티 ESRC]
이번에 발견된 입사지원서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 작성된 문장에 마침표를 생략하며, 이중 압축을 하는 등의 특징으로 볼 때 비너스락커 조직이 유포하는 것으로 추정된다는 게 ESRC 측의 설명이다.
지원서를 사칭하는 메일 특성상 첨부파일에 포함된 문서위장 파일은 대부분 유사한 이름을 사용하고 있는 것도 특징이다. 간혹 지원서 사칭이 아닌 전자상거래 위반행위 관련 내용도 유포된다.
[최근에 유포된 악성 이메일에 첨부된 유사 파일명]
- 지원서_20200303(열심히하겠습니다 잘부탁드립니다).exe
- 포트폴리오_20200303(열심히하겠습니다 잘부탁드립니다).exe
- 부당 전자상거래 위반행위 안내(자료보존 반드시 부탁드립니다).exe
- 지원서_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe
- 포트폴리오_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe
- 이력서(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe
- 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe
▲압축파일 내 이력서와 포트폴리오를 위장한 랜섬웨어[자료=이스트시큐리티 ESRC]
특히, 이번 악성 이메일에서는 기존에 잘 사용하지 않던 tar 압축포맷을 사용했으며, 이중 압축한 파일 내부에 존재하는 파일에 동일한 오타가 있는 것도 주목할 만하다.
만약 메일 수신자가 만약 한글파일 아이콘으로 위장한 해당 악성코드를 지원서나 포트폴리오로 착각하고 열게 될 경우 ‘makop’ 랜섬웨어 변종에 감염된다. 랜섬웨어 감염시 확장자가 원본파일명.[감염PC마다 랜덤으로 생성되는 8자리문자열].[akzhq412@protonmail.com].makop으로 변경되는 것으로 분석됐다.
▲makop 랜섬웨어에 감염된 후 파일 확장자가 변경되고 랜섬노트가 뜨는 화면[자료=이스트시큐리티 ESRC]
지난 3월 유포된 악성 이메일과 비교해보면 복호화 관련해서 공격자가 수신하는 메일주소가 akzhq@protonmail.com에서 akzhq412@protonmail.com으로 앞에 스펠링 ‘akzhq’을 한글로 치환하면 생성되는 ‘마콥’이라는 단어는 동일하지만 뒤에 숫자 ‘412’가 추가된 것을 확인할 수 있다.
이번에 유포된 악성 이메일과 관련해 ESRC 측은 “기존과 특별하게 눈에 띄게 달라진 부분은 없지만, 이력서 또는 지원서를 사칭한 악성 메일은 꾸준히 발생하는 공격이므로 해당 케이스의 메일을 열람할 경우에는 더욱 주의를 기울여야 한다”며, “알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop으로 탐지중이며 지속적으로 모니터링을 진행하고 있다”고 밝혔다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
