상세 컨텐츠

본문 제목

지속적으로 유포되는 '이미지 저작권 침해' 메일 주의

악성코드 분석 리포트

by 알약2 2021. 1. 5. 14:36

본문

 

안녕하세요? ESRC(이스트시큐리티 시큐리티 대응센터) 입니다.

 

이미지 저작권법 위배 안내로 위장한 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되는 정황이 포착되어 일반 사용자와 기업 담당자들의 주의가 필요합니다.

 

[그림 1] 이미지 저작권법 침해 관련 악성 메일
[그림 2] 저작권위반 내용.alz 파일 내용

만일 이용자가 최종 압축 파일에 있는 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe’을 클릭할 경우 파일 암호화 기능의 Makop 랜섬웨어가 실행됩니다. 

 

Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로 암호화된 파일 뒤에 [임의 영문 8자리].[moloch_helpdesk@tutanota.com].moloch를 추가하고, 이후 복호화 안내를 위해 ‘readme-warning.txt’를 드롭합니다. 아래는 makop 랜섬웨어의 랜섬노트로 ‘moloch_helpdesk@tutanota.com’, ‘moloch_helpdesk@protonmail.ch’ 메일로 연락해달라는 내용을 담고 있습니다.

 

[그림 3] 랜섬노트(readme-warning.txt) 파일 화면

관련하여 2020년 12월 중순부터 금일 확인된 메일과 유사한 형태로 보내진 정보입니다. 특징적으로 송신자 이름을 (색상) + (엔젤, 드론, 망고 등)의 형태로 조합한 점, 첨부 파일 이름은 한국식 이름으로 되어있습니다. 이를 통해 지속적으로 비너스락커 조직이 국내를 대상으로 하고 있음을 알 수 있습니다.

 

송신자 이메일

송신자 이름

첨부 파일 이름

info@skoolbook.org

그린엔젤

Lee,JinJoon.zip

marek.pokorny@hcjicin.cz

블랙드론

Gil,MinJoon.alz 

e****@********.co.kr

옐로우망고

Gil,SungWoong.alz

e****@********.co.kr

브라운핀

Kim,MinSang.alz 

mauro.cassano@alphacaesar.it

옐로우마린

Kim,MinSang.alz 

c.franco@cnjap.pt

화이트엔젤

Gil,MinJoon.alz 

c.franco@cnjap.pt

그린망고

Oh,HanDong.alz

kompo@kompoarredamenti.it

블루망고

Gil,MinJoon.alz 

contact@ga-immobilier.com

블루핀

Gil,SungWoong.alz

[표 1] 2020년 12월 중순부터 보내진 유사 메일 종류

 

따라서 저작권이라는 민감한 소재로 사용자들에게 첨부파일을 실행시키도록 유도하기 때문에 불분명한 파일 실행을 하지 않는 등의 사용자들의 각별한 주의가 필요합니다. 또한 중요한 파일들은 정기적으로 외장 매체(USB, 외장HDD) 등에 백업해두는 습관이 필요합니다.

 

현재 알약에서는 'Trojan.Ransom.Makop'으로 진단하고 있습니다.

 

 

관련글 더보기

댓글 영역