확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염
안녕하세요. 알약입니다.
최근 바로가기(*.lnk) 파일을 활용해 ‘비너스락커(Venus Locker)’ 변종 랜섬웨어 작동을 유도하는 악성 이메일이 유포되고 있어, 사용자 주의를 당부 드립니다.
▲ 숙소 예약 문의로 위장한 스피어피싱 메일
이스트시큐리티 시큐리티대응센터 분석 결과, 이번 공격은 2016년 말부터 국내 특정 기관 및 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장 선상으로 확인됩니다. 최근 블로그 운영자들을 상대로 한 원격제어(RAT, Remote Administration Tool) 공격 역시 같은 성격을 띠고 있습니다.
공격자가 발송한 악성 이메일에는 신분증 등 사진 파일 형태(*.jpg)로 확장자가 위장된 실행 파일과 문서 파일(*.doc)로 보이도록 만든 바로가기(*.lnk) 파일이 포함된 압축 파일이 첨부되어 있습니다.
메일 수신자가 첨부된 파일의 압축을 해제한 뒤 문서 파일로 위장된 바로 가기 파일을 실행할 경우, 사진 파일로 위장된 실행 파일이 자동으로 작동해 랜섬웨어에 감염됩니다.
▲ 문서(*.doc)와 사진(*.jpg) 파일로 위장한 악성 파일
특히 이번 공격은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 제공한다는 점을 악용해, ‘지원서.doc.lnk’, ‘룸사진2.jpg.lnk’ 등 이중 확장자명으로 파일을 조작하는 기법을 사용한 것으로 분석되었습니다.
▲ 바로 가기 속성 명령을 통해 랜섬웨어를 실행하는 화면
윈도 운영체제의 기본 설정을 사용하는 사용자 PC 폴더에서는 이중 확장자명으로 조작된 첨부 파일이 실제 확장자인 바로가기(*.lnk)가 생략돼 ‘지원서.doc’ 등으로 보입니다. 따라서 정상적인 문서나 사진 파일로 오인할 가능성이 커 더욱 각별한 주의가 필요합니다.
현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Bafometos, Backdoor.Androm.gen’ 등의 이름으로 탐지 및 치료하고 있습니다.
포켓몬 대신 잡아드립니다~ 악성코드 포함된 ‘포켓몬 고 오토 프로그램’ 유포 주의보 (0) | 2017.02.03 |
---|---|
2016 봇넷 연구 보고서 (0) | 2017.01.23 |
[악성코드 분석리포트] Trojan.Android.FakeApp (0) | 2017.01.20 |
'블로거'를 노린 대규모 피싱 공격 주의! (5) | 2017.01.16 |
대통령 탄핵심판 정국을 노린 스미싱 유포 주의! (0) | 2017.01.13 |
댓글 영역