입사지원서로 위장해 유포되고 있는 '소디노키비' 랜섬웨어 메일 화면/사진제공=이스트시큐리티
이스트시큐리티에 따르면 공격자는 구직자가 입사지원서를 제출하는 것처럼 사칭한 이메일로 랜섬웨어를 유포하고 있다. 해당 메일은 유창한 한글 표기법을 사용하고 있고 메일 제목도 '회사명_직무(이름)'순으로 기재해 수신자가 실제 입사지원서로 착각해 첨부 파일을 열어보게 유도하고 있다.
첨부 파일은 악성 실행파일(EXE)이다. 공격자는 문서 파일 이름에 긴 공백을 삽입해 수신자가 악성 파일을 PDF나 HWP 문서로 착각해 열어보도록 조작했다. 파일을 열면 즉시 '소디노키비' 랜섬웨어가 내려받아지고 수신자 PC의 주요 데이터가 암호화된다.
이스트시큐리티는 공격자가 한국어 윈도(Windows) 운영체제를 쓰고 있다고 추측했다. 또 기존 공격과 달리 사용자 PC 내 암호화폐 지갑 관련 정보를 수집하는 기능을 먼저 수행하고 이후에 다운로더로 랜섬웨어를 추가로 설치하고 있다고 했다.
이 시각 인기 뉴스
현재 이스트시큐리티는 한국인터넷진흥원과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 또 보안 백신 프로그램 알약을 업데이트 해 공격에 사용된 악성코드를 탐지하고 차단할 수 있게 했다.
문종현 ESRC 센터장은 "기존 갠드크랩 랜섬웨어 시절부터 사용하던 첨부파일 유포 방식에 다운로더가 추가됐다"며 "이 다운로더는 소디노키비 랜섬웨어 유포 외에도 정상적인 모듈을 다수 다운로드하고 암호화폐 지갑 정보를 탈취하는 기능도 추가됐다"고 말했다.