> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“입사지원 사칭 메일 통해 갠드크랩 랜섬웨어 확산”
이스트시큐리티, 한국어 기반 제작된 갠드크랩 최신버전 국내 유포…MS 워드 매크로 이용 공격
2018년 11월 16일 11:17:19 김선애 기자 iyamm@datanet.co.kr

입사지원 사칭 메일을 통해 ‘갠드크랩 랜섬웨어’가 국내에서 급속하게 확산되고 있어 각별한 주의가 요구된다.

이스트시큐리티(대표 정상원)에 따르면 15일 오후부터 개인 정보가 담긴 입사지원서를 사칭한 악성메일을 이용해 ‘갠드크랩 랜섬웨어 5.0.4’가 유포되고 있다. 이 버전은 MS 워드 매크로 기능을 악용한다. 사용자가 첨부된 파일을 열어 매크로를 활성화하면 랜섬웨어가 설치된다.

이스트시큐리티 시큐리티대응센터(ESRC)는 이 버전이 15일 오전 한국어 기반 환경에서 제작됐고, 제작된 악성 문서의 VBA 매크로 코드는 분석을 방해하기 위해 대부분 난독화돼 있다고 분석했다.

첨부된 MS워드 문서를 실행하면 워드파일의 버전 차이로 내용 확인이 되지 않는다며, ‘콘텐츠 사용’, ‘편집 사용’ 버튼을 클릭하도록 유도한다. MS워드의 보안 경고를 회피해 공격자가 사전에 설정해둔 매크로 기능이 실행되도록 유인하는 문구로, 만약 사용자가 ‘콘텐츠 사용’, ‘편집 사용’ 버튼을 클릭하면 그 즉시 갠드크랩 랜섬웨어가 PC가 설치되고 사용자 PC에 저장된 주요 파일을 암호화한다.

   

▲개인정보를 담고 있는 악성 매크로 문서 화면

이후 공격자는 PC에 생성된 CRRILRPP-DECRYPT.txt 랜섬노트 파일 안내를 통해, 복호화(암호화 해제)를 위해서 토르(Tor) 브라우저로 특정 사이트에 접속할 것을 요구한다. 토르 브라우저는 일반적인 포털사이트에서 검색되지 않는 인터넷 공간인 ‘딥웹’에 접속이 가능해 불법적인 목적으로 많이 사용되는 브라우저다.

공격자가 안내한 사이트에 접속하면 복호화를 대가로 암호화폐 대시와 비트코인)의 지불을 요구하는 화면이 나타난다.

문종현 ESRC 센터장은 “이스트시큐리티는 기존 비너스락커 랜섬웨어 유포 조직이 이번 공격에도 가담한 것으로 판단하고 있으며, 상세한 위협 인텔리전 분석을 수행하고 있다”며 “한국 맞춤형 랜섬웨어 공격이 끊임없이 발생하고 있기 때문에, 주요 자료를 많이 다루는 기업과 기관은 반드시 자료를 분리 보관(백업)하고 임직원이 보안 수칙을 준수할 수 있도록 최선의 노력을 기울여야 한다”고 당부했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  입사지원, 메일, 스피어피싱, 랜섬웨어, 악성메일, 악성문서, 갠드크랩
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr