11월 15일(목) 국내 사용자를 대상으로 입사 지원서를 가장한 갠드크랩 랜섬웨어 유포 시도가 확인되었다. 이메일을 통해 유포되고 있으며, 첨부파일이 아닌 외부 링크를 통해 *.DOC 형식의 문서를 다운로드 받도록 유도한다. 다운로드 받은 워드 문서파일에 포함된 악성 매크로 코드에 의해 갠드크랩 랜섬웨어가 다운로드 및 실행되는 구조이다. 아래의 [그림-1]은 11월 15일에 유포된 이메일의 내용이며, 이력서 다운로드 클릭 시 "donghakacademy.ddns.net/KIMJYONG.doc" 파일을 다운로드 받는다.
[그림-1] 이메일 내용
메일을 보낸사람은 "kimjyoong1121@soojawonpicture.com"으로 되어있으며, 실제 서비스되는 도메인이 아닌 것으로 확인되었다. 아래의 [그림-2]에서 처럼 11월 10일에 동일인에 의해 등록된 아래의 도메인들이 유사한 공격에 사용될 것으로 추정된다.
- https://domainbigdata.com/gmail.com/mj/AizKbe0W3X_QZVcjg5-C9Q (출처)
공격자가 사용할 것으로 추정되는 발신자 메일주소 도메인 리스트
- samkookinformation.com
- soojawonpicture.com
- noliteomoyeo.com
- haneuldongyang.com
- hangeulnaraman.com
- servicegoogletech.com
[그림-2] 공격에 사용된 도메인
V3 제품에서는 11월 15일자에 아래와 같이 탐지한 이력이 확인되었다.
지원서를 가장하여 유포되는 방식은 지속적으로 이용되고 있는 사회공학적 공격방식으로 출처가 불분명한 사람에게서 수신한 메일의 첨부파일은 실행 전 주의가 필요하며, 백신 프로그램을 최신으로 업데이트하는 작업이 필요하다.
[Update - 2018.11.19]
11월 19일자에도 예상했던 발신자 주소 (samkookinformation.com)로 부터 유사한 공격시도가 확인되었으며, 이번에는 실행파일 형태로 다운로드되는 구조이다.
그 외에도 아래의 이름으로도 유포된 이력이 확인되어 사용자 주의가 필요하다.
- 출석 요구서(작성후 출석시 지참요망).exe
- 박혜윤_이력서(181119)열심히하겠습니다.exe
- 경력증명서_양식.exe
- rix_폰트.exe
- 2018_달력.exe
- 카운터스트라이크_소스.exe
- 최신_영화_사이트.exe
- 폰허브_영상.exe
- 스팀_속도_빠르게.exe
'악성코드 정보' 카테고리의 다른 글
| V3 Uninstall 기능을 제거하여 유포되는 GandCrab v5.0.4 (0) | 2018.11.21 |
|---|---|
| 악성 매크로 스크립트를 포함하고 있는 한글 HWP 주의 (0) | 2018.11.19 |
| SEON 랜섬웨어 주의 (Fileless 형태) (0) | 2018.11.16 |
| [주의] 복구 불가능한 GandCrab v5.0.4 국내 유포 중 (0) | 2018.10.29 |
| V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.3) (0) | 2018.10.12 |
댓글