이스트시큐리티에 따르면 최근 '#언제나 미소를 가지고 준비된 지원자입니다'라는 제목의 입사지원 이메일로 위장한 공격이 확인됐다.
문제된 이메일은 "열심히 하겠습니다, 잘 부탁드립니다"라는 본문 텍스트와 함께 비밀번호가 설정된 이중 압축파일 형태의 첨부파일을 담고 있다.
압축파일 안에는 한글파일, 엑셀파일 아이콘으로 위장한 두 개의 실행파일이 담겨 있다. 이 중 하나를 실행하면 랜섬웨어 프로그램인 '락빗 3.0'(LockBit 3.0)이, 또 다른 하나를 실행하면 정보탈취용 악성프로그램인 '비다르'(Vidar)가 각각 실행된다.
락빗 파일이 실행되면 사용자 PC의 파일들이 암호화된 후 "당신의 데이터가 유출됐고 암호로 잠겼다. 몸값을 지급되지 않으면 우리 토르 다크넷 사이트에 정보들이 공개될 것"이라는 메시지와 함께 랜섬머니, 즉 암호해제의 대가인 몸값(Ransom)을 요구하는 메시지가 창에 뜬다.
비다르 파일이 실행되면 사용자의 시스템 정보와 크롬, 엣지 등 브라우저의 정보를 수집해 사이버 공격에 쓰도록 만들어진 C&C(Command & Control) 서버로 전달한다. 이를 통해 사용자의 PC에 저장된 쿠카, 방문기록, 저장돼 있는 계정정보, 웹데이터 등 정보가 공격자에게 넘어간다.
이스트시큐리티는 "피싱메일을 통해 락빗 랜섬웨어와 정보탈취 악성코드가 함께 유포되고 있어 사용자들의 각별한 주의가 필요하다"며 "최근 공격자들은 랜섬웨어와 함께 다른 악성코드도 유포하는 양상을 보이고 있다"고 했다.
또 "수상한 사용자에게서 수신된 이메일의 열람을 지양하고 중요 정보들에 대해서는 주기적으로 백업할 것을 권고한다"고 했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]