구인 기업은 깜빡 속는다? 입사지원서 사칭 랜섬웨어 또 유포

게시일: 2020. 5. 30 오전 9:32:07

입사지원서 사칭한 Makop 랜섬웨어 변종 유포중

이스트시큐리티 ESRC, 비너스락커 조직 소행으로 추정

[보안뉴스 권 준 기자] 인력을 채용하는 구인 기업들은 깜빡 속아 넘어갈 정도로 정교한 지원서(이력서) 사칭 악성 이메일이 지난 3월 초에 이어 또 다시 유포되고 있는 것으로 드러났다.

보안전문업체 이스트시큐리티 시큐리티대응센터(ESRC)는 지난 3월초 입사지원서를 사칭해 대량 유포됐던 ‘Makop’ 랜섬웨어 이메일이 최근 다시 유포되고 있다고 밝혔다.

▲지원서 사칭 랜섬웨어 악성 이메일[자료=이스트시큐리티 ESRC]

이번에 발견된 입사지원서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 작성된 문장에 마침표를 생략하며, 이중 압축을 하는 등의 특징으로 볼 때 비너스락커 조직이 유포하는 것으로 추정된다는 게 ESRC 측의 설명이다.

지원서를 사칭하는 메일 특성상 첨부파일에 포함된 문서위장 파일은 대부분 유사한 이름을 사용하고 있는 것도 특징이다. 간혹 지원서 사칭이 아닌 전자상거래 위반행위 관련 내용도 유포된다.

[최근에 유포된 악성 이메일에 첨부된 유사 파일명]

- 지원서_20200303(열심히하겠습니다 잘부탁드립니다).exe

- 포트폴리오_20200303(열심히하겠습니다 잘부탁드립니다).exe

- 부당 전자상거래 위반행위 안내(자료보존 반드시 부탁드립니다).exe

- 지원서_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe

- 포트폴리오_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe

- 이력서(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe

- 포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe

▲압축파일 내 이력서와 포트폴리오를 위장한 랜섬웨어[자료=이스트시큐리티 ESRC]

특히, 이번 악성 이메일에서는 기존에 잘 사용하지 않던 tar 압축포맷을 사용했으며, 이중 압축한 파일 내부에 존재하는 파일에 동일한 오타가 있는 것도 주목할 만하다.

만약 메일 수신자가 만약 한글파일 아이콘으로 위장한 해당 악성코드를 지원서나 포트폴리오로 착각하고 열게 될 경우 ‘makop’ 랜섬웨어 변종에 감염된다. 랜섬웨어 감염시 확장자가 원본파일명.[감염PC마다 랜덤으로 생성되는 8자리문자열].[akzhq412@protonmail.com].makop으로 변경되는 것으로 분석됐다.

▲makop 랜섬웨어에 감염된 후 파일 확장자가 변경되고 랜섬노트가 뜨는 화면[자료=이스트시큐리티 ESRC]

지난 3월 유포된 악성 이메일과 비교해보면 복호화 관련해서 공격자가 수신하는 메일주소가 akzhq@protonmail.com에서 akzhq412@protonmail.com으로 앞에 스펠링 ‘akzhq’을 한글로 치환하면 생성되는 ‘마콥’이라는 단어는 동일하지만 뒤에 숫자 ‘412’가 추가된 것을 확인할 수 있다.

이번에 유포된 악성 이메일과 관련해 ESRC 측은 “기존과 특별하게 눈에 띄게 달라진 부분은 없지만, 이력서 또는 지원서를 사칭한 악성 메일은 꾸준히 발생하는 공격이므로 해당 케이스의 메일을 열람할 경우에는 더욱 주의를 기울여야 한다”며, “알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop으로 탐지중이며 지속적으로 모니터링을 진행하고 있다”고 밝혔다.

[권 준 기자(editor@boannews.com)]

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

hwp나 docx인 척을 하는 입사 지원서 형태의 exe 랜섬웨어인 makop가 다시 나타났다.

이 makop 랜섬웨어는 입사 지원서 위장 랜섬웨어로 공격 방식은 언제나 같았지만, 사용되는 랜섬웨어만 계속 바뀌는 랜섬웨어이다. 보통 실행파일은 그 크기를 줄이거나, 디컴파일을 방지하기 위해서 실행파일 압축기라는 "패커"를 사용한다. 패킹을 한 실행파일은 실행할 때 실행파일 압축이 풀리 뒤, 자동으로 실행이 되는 동작 구조를 가지고 있다. 해당 랜섬웨어를 압축 해제할 때 발견되는 exe 실행파일들 역시 패킹이 되어있는데, MalPe 라는 패킹을 사용한다. 이후 해당 exe 실행파일을 실행할 시에 .makop 라는 랜섬웨어에 감염되게 된다. 분기 별로 계속 랜섬웨어를 시도하는 것 같은데, 이런 랜섬웨어들은 이미 비슷한 바이러스를 사용하여 안티바이러스 키트에도 걸리기 쉽고, 백신회사로 부터 대안책도 빠르게 나오기 때문에, 피해자들이 크게 동요만 하지 않으면 된다.