상세 컨텐츠

본문 제목

최신 공정위 로고를 사용한 공정위 사칭 악성 메일 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 9. 4. 10:02

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 전자상거래 위반행위 조사 내용이 담긴 공정거래위원회(이하 공정위) 사칭 악성 메일을 통해 국내에 GandCrab 랜섬웨어가 유포되고 있습니다. 관련하여 지난 공정위 사칭 메일에 사용된 옛날 로고 대신 최신 공정위 CI 로고 변경해 악성 메일로 유포되는 점이 ESRC 모니터링에 포착되어 이용자들의 주의를 당부드립니다.



이번에 발견된 공정위 사칭 악성메일은 기존에 발견된 '공정위' 사칭 악성 메일과 동일한 내용을 가지고 있으며, 첨부 파일 실행을 유도합니다. 특징적으로 이전에 유포된 '공정위' 사칭 악성 메일과 비교했을 때 '조사심사기간, 조사기준일, 조사대상기간'의 날짜가 '16일에서 22일, 24일에서 31일, 20일에서 27일'로 변경되었습니다. 


[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일


다음은 이전 메일에 사용된 공정위 로고와 이번 메일에 사용된 공정위 로고를 비교한 화면입니다.


첨부파일 '전자상거래 위반행위 통지서.egg'에는 2개의 바로가기 파일 '1.전자상거래 위반행위 통지서.doc.lnk', '2.전산 및 비전산 자료 보존요청서.doc.lnk'과 GandCrab 랜섬웨어인 'cooka.exe'가 있습니다. 


[그림 2] 첨부파일 '전자상거래 위반행위 통지서.egg'


만일 이용자가 실제로 위반행위를 한 것으로 생각하여 바로가기 파일을 실행할 경우, 명령어에 의해 GandCrab 랜섬웨어 'cooka.exe'가 실행됩니다. 실행되는 GandCrab 랜섬웨어 'cooka.exe'는 암호화 대상 파일 뒤에 '.KRAB' 확장자를 추가하고, 암호화를 진행하는 기능을 가집니다. 또한 암호화 대상 폴더마다 생성된 랜섬노트 파일로 암호화된 파일을 복호화하기 위해 가상화폐 결제를 요구합니다.


[그림 3] '1.전자상거래 위반행위 통지서.doc.lnk' 바로가기 파일


공격자는 '입사지원서' 혹은 '공정위 사칭'을 통해 지속적으로 다양한 형태로 업데이트하고 있습니다. 따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.



※ 관련글 보기


▶ 공정거래위원회를 사칭하여 유포하는 GandCrab 랜섬웨어 주의


▶ 입사 지원서 위장 메일로 유포되는 GandCrab v4.1.2 랜섬웨어 주의


▶ .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 랜섬웨어 주의


▶ 문자가 깨진 악성 메일로 유포되는 GandCrab 랜섬웨어 주의


▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의


 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의


 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중


▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요





관련글 더보기

댓글 영역