이스트시큐리티 “연말정산 관련 위장 메일로 랜섬웨어 유포중…출처 불분명한 이메일 주의해야”
최근 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 갠드크랩 랜섬웨어가 유포되고 있어 사용자의 주의가 필요하다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번에 발견된 메일은 기존에 발견된 ‘연말 정산’ 사칭 악성 메일과 동일한 내용을 갖고 있으며, 첨부 파일의 실행을 유도한다. 메일 발송에 사용된 도메인은 실제 국세청 홈텍스와 비슷한(hometax4.com)을 별도로 등록해 사용하고 있다. 이 도메인 등록자는 해당 도메인 외에도 꾸준히 악성코드 유포에 활용될 수 있을만한 주로 회사이름으로 보이는 도메인을 등록, 전용으로 사용하고 있는 것으로 보인다.
첨부 파일 ‘2018년 연말정산 안내.alz’ 에는 2개의 바로가기 파일(lnk)과 1개의 doc 파일이 있다. 사용자가 바로가기 파일을 실행하면 갠드크랩 랜섬웨어가 실행된다. EXE가 실행되면 갠드크랩(5.0.4) 랜섬웨어에 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화된다.
ESRC 관계자는 “공격자는 ‘연말 정산’ 혹은 ‘이미지 무단 사용’, ‘이력서’ 등 다양한 형태로 업데이트하고 있다. 따라서 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해야 하며, 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다”고 조언했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
