상세 컨텐츠

본문 제목

비너스락커 조직, 또 다시 Makop 랜섬웨어 변종 유포 중!

악성코드 분석 리포트

by 알약(Alyac) 2020. 4. 13. 16:43

본문



안녕하세요?

ESRC(시큐리티대응센터)입니다.


지난 3월초 대량으로 이력서를 사칭하여 유포되었던 Makop 랜섬웨어 이메일이 4월초부터 다시금 유포가 이뤄지고 있습니다. 



이번에 발견된 이력서 사칭 악성 이메일 역시 국내 대형 포털 이메일을 사용하고, 이메일 본문에 문장을 작성시 마침표를 생략하며 이중압축을 하는 등의 특징을 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. 



[그림 1] 지원서 사칭 랜섬웨어 악성 이메일 



이력서를 사칭하는 메일 특성상 꾸준히 첨부파일에 포함된 문서위장 파일은 유사한 이름을 사용하고 있는 것도 특징입니다. (간혹 이력서 사칭이 아닌 전자상거래 위반행위 관련 내용도 존재합니다.)


** 문서 위장 파일이 최근 사용한 유사 파일명


지원서_20200303(열심히하겠습니다 잘부탁드립니다).exe


포트폴리오_20200303(열심히하겠습니다 잘부탁드립니다).exe


부당 전자상거래 위반행위 안내(자료보존 반드시 부탁드립니다).exe


지원서_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe


포트폴리오_20200406(경력사항 있습니다 확인부탁드리겠습니다).exe


이력서(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe


포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe 



특히 이번 악성 이메일에서는 기존에 잘 사용하지 않던 tar 압축포맷으로 유포를 진행했으며, 이중압축한 파일 내부에 존재하는 파일에 동일한 오타가 있는 것도 눈에 띄는 부분입니다. 



[그림 2] 압축파일 내 이력서와 포트폴리오를 위장한 랜섬웨어



메일 수신자가 만약 한글파일 아이콘으로 위장한 해당 악성코드를 지원서나 포트폴리오로 착각하고 열어본다면 makop 랜섬웨어 변종에 감염됩니다. 감염되면 확장자가 원본파일명.[감염PC마다 랜덤으로 생성되는 8자리문자열].[akzhq412@protonmail.com].makop 으로 변경되게 됩니다.



[그림 3] makop 랜섬웨어에 감염된 후 파일 확장자가 변경되고 랜섬노트가 뜨는 화면



지난 3월과 비교했을 때 복호화 관련 공격자가 수신하는 메일주소가 akzhq@protonmail.com에서 akzhq412@protonmail.com으로 앞에 '마콥'이라는 단어(akzhq스펠링을 한글로 치환하면 마콥)는 동일하지만 뒤에 412만 추가된 것을 확인할 수 있습니다.


기존과 특별하게 눈에 띄게 달라진 부분은 없지만, 이력서&지원서를 사칭한 악성 메일은 꾸준히 발생하는 공격이므로 해당 케이스의 메일을 열람할 경우에는 더욱 주의를 기울여야 합니다.


알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop으로 탐지 중이며 지속적으로 모니터링을 진행하고 있습니다. 



관련글 더보기

댓글 영역