"코로나 바이러스" 이슈를 이용하여 공격중인 악성코드 주의!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

금일(19일), 국내 코로나 19(코로나 바이러스) 확진자가 급증하였습니다.

이스트시큐리티에서는 이미 이러한 사회적 불안을 이용한 코로나 바이러스를 악용하는 악성코드에 대해 주의를 당부한 적이 있습니다. 

(▶ 지속적으로 발견되고 있는 '코로나 바이러스' 관심사를 악용하는 악성코드)

하지만 코로나 바이러스(coronavirus)를 키워드로 한 악성코드 공격이 지속적으로 증가하고 있어 다시 한번 당부를 드립니다. 

이번에 발견된 공격은 "Information on Travelers from Wuhan China to India" 파일명으로 유포되었습니다. Wuhan China는 코로나바이러스의 또 다른 이름으로, 국내에서는 중국우한폐렴 이라고도 불리웁니다. 

[그림 1] 엑셀 파일을 위장한 악성코드

이번에 ESRC에서 수집한 악성샘플은 Information on Travelers from Wuhan China to India.xlsx             .exe라는 파일명으로 유포되었으며, 엑셀 아이콘과 이중확장자를 이용하여 사용자들의 실행을 유도하고 있습니다. 

[그림 2] 암호화 된 파일들 및 랜섬노트

사용자가 해당 파일을 엑셀파일로 착각하여 실행하면, CXK-NMSL(혹은 ChineseBAT) 랜섬웨어가 실행되며 사용자 파일을 암호화 한 후, 확장명을 cxk_nmsl로 바꿉니다. 

코로나 바이러스 키워드로 악성코드 유포가 지속되고 있는 만큼, 사용자들의 각별한 주의가 필요합니다. 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지중에 있습니다.