유명 소셜커머스 입사지원서를 위장한 악성코드

안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 유명 소셜커머스의 입사지원을 위장하여 악성코드가 유포되어 사용자들의 주의가 필요합니다. 

[그림 1] 입사지원서를 위장한 악성메일

공격자는 해당 소셜커머스 회사 특정 직군에 지원하는 것처럼 이력서를 위장하여 악성코드를 전달하였습니다. 

확인 결과, 해당 기업은 실제로 현재 해당 직군의 인재를 채용 중인 것으로 확인되었습니다. 

[그림 2] 실제로 진행중인 채용공고

공격자가 보낸 이메일의 첨부 파일에는 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. 

[그림 3] 악성메일에 첨부되어 있는 압축파일

사용자가 압축 해제 후 악성매크로가 포함된 doc 파일을 실행하면, 보안 경고창이 뜹니다. 

[그림 4] 악성 매크로가 포함된 파일 실행 시 뜨는 보안경고창

이때 사용자가 콘텐츠 사용을 클릭하면, doc 파일에 포함되어 있던 악성 매크로가 실행되며, 갠드크랩  랜섬웨어 5.1버전을 특정 서버에서 내려받아 실행합니다. 

[그림 5] 갠드크랩 랜섬웨어 실행화면

기존에 주로 유포되던 갠드크랩은 5.0.4 버전 이였지만, 약 1월 17일경부터 갠드크랩 5.1버전이 주로 유포되고 있습니다. 또한 이번에는 공격 형태가 악성 .lnk 파일이 첨부된 압축 파일에서 악성 매크로가 포함된 doc 파일로 변화되었습니다. 

하지만 이러한 공격 방식은 기존에도 이 공격 그룹이 주로 사용하던 랜섬웨어 유포방식 중 한가지로서 언제든지 또 다른 형태로 변화할 수 있는 점을 유념하셔야 합니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Downloader.DOC.gen, Trojan.Ransom.GandCrab으로 탐지중에 있습니다.