HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

이미지도용·입사지원·명함제작? 갠드크랩 랜섬웨어 공격 문구 ‘각양각색’
등록일 :
2019.01.16
하우리, 다양한 유형의 이메일로 유포되는 갠드크랩 랜섬웨어 주의 당부

[보안뉴스 권 준 기자] 최근 다양한 이미지 도용과 입사지원, 명함제작 문의 등 다양한 내용의 이메일을 사칭한 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있는 것으로 드러났다.

▲이미지 사용 금지 요청 메일로 위장한 갠드크랩 랜섬웨어[이미지=하우리]

보안전문업체 하우리에 따르면 최근 국내에 갠드크랩 랜섬웨어가 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

공격자는 메일 수신자의 업무 특성을 사전에 파악한 후, 업무와 관련된 내용으로 첨부파일을 확인해 달라는 내용과 함께 압축파일이 첨부되어 있다는 게 하우리 측의 설명이다. 공격 사례도 매우 다양하다. 가장 대표적인 유형은 블로거, 홈페이지관리자, 디자인회사 등에 이미지 사용 금지를 요청하는 메일 내용으로 첨부파일을 실행하도록 유도하는 방식이다.

두 번째 사례는 인사담당자에게 입사지원을 위장하여 이력서가 포함된 첨부파일을 실행하도록 유도하는 공격방법이다. 세 번째는 명함, 의류업체 등에 제품 제작 관련 문의메일로 첨부파일을 실행하도록 유도하기도 한다. 이 외에 세무관련 업무 문의메일로 첨부파일을 실행하도록 유도하는 사례도 발견됐다.

이렇듯 다양한 형태로 전송되는 악성 메일에 포함된 첨부파일은 .alz 확장자를 가지고 있으며 이는 국내 유명 압축소프트웨어로 압축된 압축파일이다.

.alz 파일은 대부분의 압축해제 툴로 압축을 해제하지 못하기 때문에 스팸 필터나 방화벽 등 보안장비에서 첨부파일에 포함되어 있는 파일을 확인하지 못하는 점을 이용하여 탐지를 우회하는 것으로 분석됐다.

메일에 첨부된 파일을 압축해제하면 이미지파일이나 문서파일, 그리고 바로가기 파일이 포함되어 있다. 바로가기파일은 문서파일로 위장한 갠드크랩 랜섬웨어(참고내용_190115.doc​)와 정상 이미지(참고이미지.jpg) 파일을 실행시킨다.

이와 관련 하우리 측은 “갠드크랩 랜섬웨어가 실행되면 컴퓨터에 저장된 사용자 데이터 파일을 암호화하고 복구를 위해 1500USD(약170만원) 상당의 암호화폐 대시 또는 비트코인을 요구한다”며, “최근 .alz 파일로 압축된 갠드크랩 랜섬웨어가 국내에 많이 유포되고 있으니 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top