상세 컨텐츠

본문 제목

입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중!

악성코드 분석 리포트

by 알약(Alyac) 2019. 2. 26. 14:53

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


금일(2/26) 갠드크랩(GandCrab) 랜섬웨어를 유포하던 비너스락커 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서를 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.2을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다.



[그림 1] 메일 이미지



해당 메일의 특징은 이메일 제목이 없고 메일의 본문에는 "백만불짜리 열정을 보여드리겠습니다." "성실하고 꼼꼼한 지원자 입니다." 등과 같은 간단한 내용이 작성되어 있습니다.


해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 



[그림 2] 압축 파일 이미지



첨부파일에는 (파일명).doc (긴 공백).exe 형태로 파일명 중간에 공백을 길게 넣은 실행파일(.exe)의 형태로 유포되고 있으며, 파일명과 확장자명 사이에 긴 공백을 넣어 실행파일이 아닌 워드파일인 것처럼 위장하고 있습니다.


GandCrab 랜섬웨어의 버전이 5.2버전으로 업데이트된 이후 처음으로 입사지원서를 위장한 메일로 유포되고 있으며 채용 담당자들의 각별한 주의가 필요합니다.


채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 





알약에서는 해당 샘플들에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다. 





관련글 더보기

댓글 영역