포스팅 내용

악성코드 분석 리포트

한글로 작성된 코로나바이러스 이슈 악용 Hoax 주의!


안녕하세요.

ESRC (시큐리티대응센터)입니다.


아직 코로나 바이러스 이슈가 진정될 기미가 보이지 않는 상황에서, 코로나 바이러스 이슈를 노린 Hoax가 또다시 유포된 것이 확인되어 주의가 필요합니다. 해당 Hoax는 코로나19 랜섬웨어처럼 위장하고 있으나 암호화 행위를 하지 않음이 확인되었습니다.


이 Hoax는 2020년 3월 11일에 생성된 것으로 추정되며, COVID-19라는 파일명을 가지고 있습니다. 


실제로 사용자들이 해당 Hoax파일을 실행하게 되면, 실제 이 Hoax는 경고창을 띄우고 [그림 1]와 같은 메시지를 보여주게 됩니다. 



[그림 1] Hoax 실행시 시스템 경고창으로 위장하여 사용자에게 보이는 메시지



영어로 작성되어 있는 해당 문구는 'Just because you're home doesn't mean you're safe'라는 내용으로 최근 코로나바이러스때문에 재택근무 형태로 일하는 사용자들의 상황을 공격자가 잘 알고 있다는 것을 보여줍니다.


이후 [그림 2]과 같이 추가적인 경고창 메시지가 보이며, 일부 경고창 메시지에서는 Ransom이라는 단어를 Lansom으로 표기한 오타가 보이기도 합니다. 



[그림 2] Hoax가 [그림 1]에 이어 보여주는 메시지. Ransom을 Lansom이라고 잘못 표기



이 경고창 메시지가 끝나면 실행되는 프로그램 화면 좌상단에 [코로나 19] RANSOMWARE라는 한글로 작성된 문구가 포함된 타이틀이 보여지며 그 외 다른 내용은 전혀 확인이 되지 않습니다. 



[그림 3] Hoax가 최종 실행된 화면. 좌상단에 한글로 '코로나 19'라고 표기되어 있음



이후 특정경로에 생성된 랜섬노트와 같은 역할의 Read_Me.txt 의 내용은 다음과 같습니다.



[그림 4] Hoax가 생성하는 Read_Me.txt 파일 내용. 10,000KRW 상당의 컬쳐랜드의 문화상품권 바코드를 요구



파일 암호화가 실제로 진행되지 않는 Hoax이지만, 마치 랜섬웨어가 실행된 후 띄우는 랜섬노트와 같이 사용자 대상으로 복호화 비용을 요구합니다. 복호화 비용으로 한국 원화(KRW) 10,000원 상당의 컬처랜드 문화상품권 바코드를 요구하고 있습니다. 


컬처랜드 문화상품권 바코드 요구는 기존 보이스 피싱 조직들이 피해자들에게 실제 현금 이체 대신 많이 요구했던 방식입니다. 공격자가 컬처랜드 문화상품권 바코드를 현금 대신 요구하는 것은 문화상품권 등의 소액의 피해에 대해서는 본격적인 수사가 이뤄지지 않을 가능성이 높고, 공격자가 컬처랜드 문화상품권을 구매하는 과정에 일절 관여하지 않기 때문에 추적이 쉽지 않다는 부분을 악용합니다.


코로나바이러스 이슈를 노리고 사용자들을 현혹하는 Hoax에 대해서도 주의를 요하는 시기입니다. 이번에 확인된 악성코드도 아무런 파일 암호화 행위를 하지 않는 랜섬웨어 사칭 Hoax이지만 혹시나 노트의 메시지 내용을 확인하고 컬처랜드 문화상품권을 구매하여 공격자에게 전달하지 않도록 조심해야 합니다.


알약에서는 해당 Hoax에 대해 Misc.Hoax로 탐지중입니다.






티스토리 방명록 작성
name password homepage