Home > Security

채용시장 활기 노렸나? 입사지원서 위장 랜섬웨어, 메일로 유포

  |  입력 : 2021-04-18 23:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안랩 ASEC 분석팀, 최근 입사지원서 위장 ‘Makop’ 랜섬웨어 유포 주의 당부
기업들의 상반기 채용 진행 등 채용시장 활기 노려 기업 채용담당자 타깃으로 유포


[보안뉴스 권 준 기자] 코로나19 장기화에 따라 디지털 트랜스포메이션((DT)과 비대면 환경이 급속도로 진전되면서 개발자들을 위시한 IT 인력들의 몸값이 치솟는 등 채용시장이 점차 활기를 띠고 있는 가운데 입사지원서로 위장한 랜섬웨어가 또 다시 등장했다.

▲입사지원서로 위장한 메일 내용[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 최근 입사지원서로 위장한 ‘Makop’ 랜섬웨어가 이메일을 통해 유포되는 것을 확인했다고 밝혔다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데, 이에 맞춰 채용 담당자를 타깃으로 유포하고 있어 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다는 설명이다.

ASEC 분석팀에 따르면 메일은 지원자의 이름으로 추정되는 형식의 제목으로 유포되고 있으며, 랜섬웨어는 이름과 비밀번호를 포함한 압축파일로 된 첨부파일에 포함돼 있는 것으로 분석됐다.

이번에 발견된 악성 메일은 메일 보안 시스템을 우회하기 위해 압축 비밀번호를 설정했으며, 압축 비밀번호는 첨부파일명에 같이 적혀 있어 압축을 풀게 되면 ‘이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe’와 ‘입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe’ 파일 2개를 확인할 수 있게 된다.

해당 파일들은 엑셀 아이콘으로 위장된 실행 파일(EXE)이며 두 파일은 같은 파일이나 파일명만 다르게 작성되어 있다. 해당 파일을 실행하게 되면 아무런 메시지 없이 자동으로 파일 암호화가 이루어지며 파일명과 확장자가 ‘A.pdf’에서 ‘A.pdf.[랜덤문자 8글자].[pecunia0318@airmail.cc].pecunia’로 변경되는 것으로 나타났다.

▲파일 암호화 전과 후[자료=안랩 ASEC 분석팀]


또한, 암호화된 폴더마다 readme-warning.txt 랜섬노트 파일이 생성되게 되며, 해당 랜섬노트를 확인해보면 아래와 같은 글이 적혀 있다.

▲해당 랜섬웨어 랜섬 노트[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 “해당 랜섬웨어의 파일 암호화 후 추가되는 확장자는 ‘Pecunia’이지만 유포 방식 및 랜섬노트 내용과 파일 암호화 후 파일명이 변경되는 형식이 기존 Makop 랜섬웨어 같은 것으로 보아 동일한 종류로 파악된다”며, “Makop 랜섬웨어는 1년 전부터 이러한 방식으로 유포를 꾸준히 진행하고 있어 지속적으로 주의가 필요하다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)