[주의] 신종 랜섬웨어 'Sodinokibi', 입사지원서 사칭해 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다.

이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다.

[그림 1] 입사지원서를 사칭한 피싱 메일 화면

해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.)

채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이 들어 있습니다.

[그림 2] PDF 문서 파일을 위장한 악성 파일

악성 실행 파일은 '(OOO)이력서.pdf(긴 공백).exe'이라는 이중 확장자 형태이며, 굉장히 많은 공백을 삽입해 악성 실행파일임을 속이려고 시도했습니다.

따라서 채용 담당자가 해당 파일을 PDF 파일로 착각해 실행한다면, 다음과 같이 Sodinokibi 랜섬웨어에 감염됩니다.

Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, 랜섬노트에 “Hello, dear friend”라는 문구로 시작한다는 특징이 있습니다.

[그림 3] Sodinokibi 랜섬웨어에 감염된 PC 화면

이번에 발견된 Sodinokibi 랜섬웨어 샘플은 각 폴더에 '0umzxro1-readme.txt'라는 랜섬노트와 'e21290ac.lock'라는 파일이 생성되며, 0umzxro1 확장자로 모든 파일이 암호화됩니다.

[그림 4] 암호화된 파일 화면

[그림 5] Sodinokibi 랜섬노트 화면

랜섬 노트에는 안내된 링크를 TOR 브라우저를 통해 방문하라는 메시지가 적혀 있으며, TOR 브라우저를 통해 해당 링크 주소로 들어가면 다음과 같은 사이트를 확인할 수 있습니다. 

[그림 6] Sodinokibi 랜섬노트에 기재된 사이트 화면

Sodinokibi 랜섬웨어는 최근 발견된 신종 랜섬웨어로 이전의 갠드크랩처럼 국내에 대량으로 유포되고 있습니다.

각 기업의 채용 담당자께서는 출처가 불분명한 사용자에게서 온 '입사 지원서' 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

알약에서는 해당 악성 샘플에 대하여 'Trojan.Ransom.Sodinokibi'으로 탐지 중에 있습니다.

※ 관련글 보러가기

▶ 신종 랜섬웨어 ‘Sodinokibi’ 주의! (2019.04.30)

▶ [주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중! (2019.05.14)