Home > 전체기사
[긴급] 구직자 위장한 가상화폐 채굴 악성 메일 유포중
  |  입력 : 2017-12-11 15:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
매크로 이용해 악성파일 유포, 기업 채용 담당자 대상으로 감염 시도

[보안뉴스 김경애 기자] 특정 기업의 채용 구인공고를 보고 연락한 것처럼 위장한 악성 이메일인 스피어피싱이 국내에서 잇따라 발견되고 있어 주의가 필요하다.

[이미지=이스트시큐리티]


해커는 한글로 작성한 이메일에 구직자 이름의 채용서류 파일로 위장한 악성파일을 압축파일로 첨부해 유포하고 있다.

보안전문 기업 이스트시큐리티 측은 “이력서 파일로 위장한 압축파일 내부에는 ‘0.png’ 이미지 파일과 ‘(이름) 이력서.doc’ 파일이 포함돼 있다”며 “이미지 파일은 아무런 내용이 없는 단순 파일이며, 이력서 파일을 열도록 현혹하는데 활용하는 것으로 추정된다”고 밝혔다.

이력서 파일은 지난 6일 저녁 7시 41분에 압축된 것을 확인할 수 있으며, 마이크로소프트 오피스 문서 파일로 작성된 것으로 분석됐다.

공격자는 지난 6일 악성 파일을 제작해 준비한 다음 7일 오후 12시 20분에 한국의 특정인에게 해킹 이메일을 발신했다.

이메일을 받은 이용자가 압축을 해제하고, 이력서로 위장한 DOC 문서파일을 실행하게 되면, 마이크로소프트 워드 파일의 버전이 호환되지 않아 문서 내용이 깨져 보이는 것처럼 안내한다. 특히, 보안 위협에 노출될 수 있는 매크로가 실행되도록 ‘콘텐츠 사용’ 활성화를 유도하는 것이 특징이다.

공격자는 매크로 기능을 이용해 악성파일을 유포하고 불특정 다수 기업의 채용 담당자들을 대상으로 감염을 시도했다. 특히, 유포된 악성파일이 한국어 기반으로 제작됐으며, 제작자는 ‘Peter’ 영문표기의 윈도우즈 계정명을 사용하고 있는 것으로 드러났다.

[이미지=이스트시큐리티]


악성파일이 실행되면 추가로 ‘mm.zip’ 파일이 다운로드된다. 여기에는 다양한 종류의 모듈이 포함돼 있고, 내부에는 암호화페 채굴 기능을 보유한 것으로 추정되는 파일(minerd.exe)이 들어 있다.

[이미지=이스트시큐리티]


공격자는 여러 정황상 한글을 사용하고 있으며, ‘minerd.exe’ 파일은 가상화폐 채굴 기능이 있는 ‘crss.exe’ 파일을 활용해 작동한다. 또한, 공격자는 ‘milqui1979@mail.ru’ 러시아 이메일 계정을 사용한다.

[이미지=이스트시큐리티]


이처럼 공격자는 구직자로 사칭한 한국어 맞춤형 스피어피싱을 통해 가상화폐 채굴 기반 악성파일을 유포한다.

이와 관련 이스트시큐리티 관계자는 “최근 비슷한 사례로 비너스락커 랜섬웨어 제작자도 이메일을 통해 가상화폐 채굴 공격을 수행한 바 있다”며 “기업의 채용과 인사담당자는 구직 문의 등으로 접수되는 이메일에 대해 항상 주의하고, 매크로 기능이 포함된 문서파일의 경우 절대로 열람하지 않는 것이 바람직한다. 또한, 문서 작성 프로그램은 항상 최신 업데이트로 유지할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)