지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의!

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.

갠드크랩(GandCrab) 랜섬웨어가 포함된 지마켓 할인쿠폰을 위장한  악성 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

[그림1 지마켓 할인쿠폰 메일을 위장한 악성메일]

이번에 발견된 악성 메일은 [Gmarket] 축하해! 당신을 위한 쿠폰! 이라는 제목으로 유포되고 있습니다.

해당 메일을 클릭하면, 지마켓(Gmarket)에서 보내온 것처럼 정교하게 위장된 이메일 내용과 함께 쿠폰을 위장한 압축 파일이 포함되어 있습니다. 

[그림2] 할인쿠폰을 위장하고 있는 갠드크랩

해당 압축파일 안에는 pdf 형식의 지마켓 할인쿠폰을 위장한 exe 파일이 포함되어 있습니다. 

사용자가 해당 파일을 PDF 파일로 착각하여 실행할 경우, 할인쿠폰을 위장하고 있던 갠드크랩(GandCrab) 랜섬웨어가 실행되게 됩니다. 

[그림3] 갠드크랩 v5.1 바탕화면

이번 지마켓 할인쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어는 5.1 버전으로, 갠드크랩은 최근 다양한 형태의 악성메일을 통해 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

얼마 전, 이스트시큐리티 블로그에서 다루었던 경찰청 소환장을 위장하여 유포중인 갠드크랩 랜섬웨어 역시 이번 지마켓 할인쿠폰 이메일과 동일한 도메인으로 유포되었습니다. 이러한 것으로 보았을 때, 동일한 공격자로 추측됩니다. 

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의

최근 다양한 주제로 위장한 악성메일들이 대량으로 유포되고 있는 만큼, 사용자들의 각별한 주의가 필요합니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 ‘Trojan.Ransom.GandCrab’로 탐지중에 있습니다.