최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

채용 시즌 돌아오니 …지원서 사칭 랜섬웨어 다시 '기승'

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

상반기 채용 시즌이 다가오면서 입사지원서를 가장한 랜섬웨어 공격이 최근 다시 기승을 부리고 있다.

 

4일 보안업계에 따르면 최근 입사지원서를 사칭한 갠드크랩 랜섬웨어가 잇따라 발견되고 있다. 취업 준비생이 보낸 메일처럼 위장해 기업 인사담당자를 노린다.

 

최근 안랩이 발견한 공격 사례는 갠드크랩 랜섬웨어 5.1 버전으로 이메일 첨부 파일 형태로 유포됐다. 이메일 본문에는 첨부 파일을 실행하도록 유도하는 내용이 포함돼 있다. 첨부된 압축 파일 내부에는 문서·이미지·링크·파워포인트 파일 등이 담겨 있다. 

 

링크(바로가기) 파일이 실행되면 문서·이미지 파일로 위장한 악성파일이 동작하는 방식이다. 악성코드 감염이 진행되는 동안에도 사용자를 속이기 위해 화면에는 제목의 정상 문서 파일이 나타난다는 게 회사 측 설명이다. 이번 경우 '훈련 위탁 계약서'라는 제목의 문서였다.

 

이스트시큐리티도 유명 소셜커머스 입사지원서를 위장한 악성코드를 발견했다. 해당 회사가 실제로 채용중인 특정 직군에 지원하는 것처럼 이력서를 꾸미고 악성코드를 유포했다.

 

공격자가 보낸 이메일에는 악성 매크로가 포함된 문서(doc) 파일이 첨부돼 있었다. 사용자가 압축 파일을 풀면 문서 파일을 실행하면 보안 경고창이 뜨는데 이때 '콘텐츠 사용'을 클릭하면 특정 서버에서 랜섬웨어를 내려받게 된다. 역시나 갠드크랩 5.1 버전이다.

  

바로가기 파일 실행 시 화면에 표시되는 정상 문서 파일 [자료=안랩]

 

이스트시큐리티 관계자는 "기존에 주로 유포되던 갠드크랩은 5.0.4 버전이었지만 지난달 17일 무렵부터 5.1 버전이 주로 유포되고 있다"고 말했다. 최근 갠드크랩 랜섬웨어 버전이 업데이트된 것이다. 

 

이스트시큐리티에 따르면 서비스형 랜섬웨어(RaaS)인 갠드크랩의 경우 구매자는 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야 하며, 대형 구매자는 수익의 70%까지 요구할 수 있다. 단 독립국가연합(구소련 해체로 탄생한 러시아 등 12개 국가의 모임)을 공격하는 용도로는 구매할 수 없다고 한다. 

 

안랩 관계자는 "설 명절을 비롯해 입학·졸업, 채용, 각종 세금 납부 시기에는 관련 메일로 위장한 악성코드가 유포될 가능성이 평소보다 높아 더욱 주의해야 한다"고 전했다.​ 

  • 아이뉴스24 로고
  • 김국배 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.