2024-03-28 22:00 (목)
변종 갠드크랩 랜섬웨어 택배 배송 사칭해 유포 중...주의
상태바
변종 갠드크랩 랜섬웨어 택배 배송 사칭해 유포 중...주의
  • 길민권 기자
  • 승인 2018.05.15 03:14
이 기사를 공유합니다

▲ 특정 택배 배송팀으로 위장한 악성 이메일 화면. 이스트시큐리티 제공.
▲ 특정 택배 배송팀으로 위장한 악성 이메일 화면. 이스트시큐리티 제공.
5월 14일 한국의 유명 택배회사 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요구된다.

유포에 활용된 이메일 내용을 보면, 유창한 한국어로 작성되어 있으며 마치 실제 택배 배송관련 안내 메일처럼 교묘하게 만들어져 있다.

이메일에 첨부되어 있는 '한진택배.egg' 압축 파일 내부에는 '배송장_386572.doc', '영수증_386572.doc' 등 MS Word 파일이 포함되어 있다.

이름이 다른 2개의 파일은 실제로는 동일한 파일이며, 워드 파일을 실행하면 보안 경고 창과 매크로 실행 유도화면을 보여준다.

만약, [콘텐츠 사용] 버튼을 클릭해 매크로 기능을 활성화시키면 내부 매크로 코드 명령에 의해 한국의 특정 언론사 웹 사이트로 접속한다.

이용자가 여기서 [확인]버튼을 클릭하면 매크로 기능에 의해 명령제어(C2) 서버로 연결되어 'ha.exe' 파일을 다운로드 한다.

해당 서버에 등록되어 있는 갠드크랩 랜섬웨어는 공용폴더(C:UserPublic)에 'putty.exe' 파일명으로 생성되고 실행된다.

공격자가 구축해 둔 명령제어(C2) 서버에는 지속적으로 새로운 변종 랜섬웨어가 등록되어지고 있는 것을 확인했다.

이스트시큐리티 ESRC는 "최근 한국 맞춤형 갠드크랩 랜섬웨어 이메일이 국내에 지속적으로 유포되고 있으며 매우 다양한 형태로 진화하고 있다. 랜섬웨어 보안위협에 노출되지 않도록 각별한 주의가 필요하다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★