비너스락커 그룹 입사지원서를 위장하여 지속적으로 갠드크랩 v5.2 유포 중

악성코드 분석 리포트

by 알약(Alyac) 2019. 4. 22. 11:02

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

2019년 4월 19일, ESRC에서는 비너스락커(Venus Locker) 그룹으로 추정되는 입사지원서를 위장한 갠드크랩 v5.2 유포 정황을 포착하였습니다.

[그림 1] 입사지원서를 위장한 악성 메일 이미지

최근 채용 시즌을 맞아 지속적으로 입사지원서 사칭 메일이 다양한 지원자 이름으로 유포되고 있습니다.

이번 악성 메일도 최근 2주간 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다.

메일 제목은 ‘성유리입니다.’라는 지원자가 보낸 메일처럼 작성하였고, 메일 내용 또한 간단하게 ‘안녕하세요! 공고 보고 연락 드려요’라고 작성되어 있습니다.

첨부된 압축 파일을 해제하면 DOC, JPG 확장자로 위장한 악성 파일이 들어 있으며, 다수의 빈 공백 다음에 EXE 실행 파일 확장자를 확인하실 수 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)

[그림 2] 악성 파일 확장자 화면

압축 파일 안의 파일명은 다음과 같습니다.

- 성유리_이력서.doc(긴공백).exe

- 성유리_자격증.jpg(긴공백).exe

입사담당자가 해당 악성 파일을 MS Office Word 파일이나(DOC), 이미지(JPG) 파일로 착각하여 실행한다면 다음과 같이 갠드크랩 v5.2에 감염됩니다.

[그림 3] DOC, JPG 파일로 위장한 악성코드 실행 파일 화면

이번에 발견된 랜섬웨어는 사용자 PC가 랜섬웨어에 감염되면 MJRJHI-MANUAL.txt 랜섬노트를 바탕화면에 생성하고 모든 파일은 .MJRUHI 확장자가 붙은 암호화 파일로 변경합니다.

[그림 4] MJRJHI 랜섬노트 이미지

이번 갠드크랩도 토르 웹 브라우저로 접속하여 암호화된 파일을 복호화 하기 위해 랜섬머니를 지불할 것을 요구하고 있습니다.

[그림 5] 갠드크랩 v5.2 감염 이미지

채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다.

알약에서는 해당 악성 샘플에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.

[주의] 국내 중소기업을 사칭한 견적 요청의 피싱 메일 유포 중! (0)	2019.04.24
'금성121 조직', 통일부를 사칭한 APT 공격, 구글 드라이브로 악성코드 전파 (0)	2019.04.22
'리플라이 오퍼레이터(Reply Operator)' 이미지 사용 중지 요청 악성 메일로 갠드크랩 유포 (0)	2019.04.19
비너스락커 그룹 또다시 입사지원서를 위장하여 갠드크랩 v5.2 유포 (0)	2019.04.19
다음 커뮤니케이션을 사칭한 영문 피싱 메일 주의! (0)	2019.04.19

고정 헤더 영역