입사지원서로 위장해 유포되고 있는 '소디노키비' 랜섬웨어 메일 화면/사진제공=이스트시큐리티
이스트시큐리티는 이번 공격이 기존 비너스락커 유포 조직의 소행으로 추정된다고 밝혔다. 그러면서 비너스락커 유포 당시보다 진화된 공격 형태로 '소디노키비' 랜섬웨어가 유포되고 있다고 분석했다.
메일에 첨부된 입사지원서 파일은 압축파일 형식이다. 수신자가 압축파일을 풀면 실제 파일처럼 위장된 '이력서.pdf', '포트폴리오.pdf' 이름의 두 가지 파일이 나타난다. 변종에 따라 한글파일도 존재한다.
이스트시큐리티는 공격자가 한국어 윈도(Windows) 운영체제를 쓰고 있다고 추측했다. 또 기존 공격과 달리 사용자 PC 내 암호화폐 지갑 관련 정보를 수집하는 기능을 먼저 수행하고 이후에 다운로더로 랜섬웨어를 추가로 설치하고 있다고 했다.
현재 이스트시큐리티는 한국인터넷진흥원과 협력해 해당 악성코드의 명령제어 서버 차단과 긴급 모니터링 등 피해 규모 감소를 위한 조치를 진행하고 있다. 또 보안 백신 프로그램 알약을 업데이트 해 공격에 사용된 악성코드를 탐지하고 차단할 수 있게 했다.
이 시각 인기 뉴스
문종현 ESRC 센터장은 "기존 갠드크랩 랜섬웨어 시절부터 사용하던 첨부파일 유포 방식에 다운로더가 추가됐다"며 "이 다운로더는 소디노키비 랜섬웨어 유포 외에도 정상적인 모듈을 다수 다운로드하고 암호화폐 지갑 정보를 탈취하는 기능도 추가됐다"고 말했다.