상세 컨텐츠

본문 제목

비너스락커 조직, 입사지원서 피싱 메일을 통해 Makop 랜섬웨어 유포중!

악성코드 분석 리포트

by 알약4 2022. 1. 10. 16:56

본문

 


안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
10일, 입사지원서를 위장한 피싱 메일을 통해 Makop 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 

피싱 메일에는 "입사지원서_220109(경력사항도 같이 기재하였습니다 잘부탁드립니다)"라는 파일명을 가진 .exe 파일이 첨부되어 있습니다. 

해당 .exe 파일은 한글 파일 아이콘을 위장하고 있습니다.

 

[그림 1] 피싱 메일에 첨부되어 있는 파일

 

 

사용자가 해당 파일을 정상 파일로 오인하여 실행하면 Makop 랜섬웨어 실행됩니다. 

 

해당 샘플은 분석을 어렵게 하기 위하여 NSIS(Nullsoft Scriptable Install System)를 사용하였으며, 라이브러리와 소스를 특정 폴더에 드롭하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게 인젝션을 실행하는 형태로 동작합니다. 

 

이후 볼룸 쉐도우를 삭제하여 복구를 어렵게 하며, 다음 파일을 제외한 다른 파일들을 암호화 합니다. 

 

 

boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini

 

 

암호화 후 파일 확장자를 [CD59D479].[baseus0906@goat.si].baseus으로 변경하며 'readme-warning.txt' 제목의 랜섬노트를 띄웁니다.

 

 

[그림 2] 암호화 후 띄우는 랜섬노트

 

 

사용자들은 출처가 불분명한 이메일에 포함된 파일을 실행하지 않도록 각별한 주의가 필요합니다. 또한 중요한 파일들은 정기적으로 외장 매체(USB, 외장HDD) 등에 백업해두는 습관을 가져야 합니다.

 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Makop로 탐지중에 있습니다.

 

 

관련글 더보기

댓글 영역