2024-03-29 00:35 (금)
[긴급] 이력서로 위장한 가상화폐 채굴 악성코드 유포중...악성파일은 한글로 제작돼
상태바
[긴급] 이력서로 위장한 가상화폐 채굴 악성코드 유포중...악성파일은 한글로 제작돼
  • 길민권 기자
  • 승인 2017.12.12 18:06
이 기사를 공유합니다

공격자, 한글로 작성한 이메일에 채용서류 파일처럼 만든 악성파일 압축해 전송

▲ 채용 구직 이메일로 위장한 스피어 피싱용 이메일. 이스트시큐리티 제공.
▲ 채용 구직 이메일로 위장한 스피어 피싱용 이메일. 이스트시큐리티 제공.
특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 스피어 피싱 해킹공격 이메일이 국내에서 최근 발견되고 있어 채용 및 구직관련 담당자들은 각별히 주의해야 한다.

공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있다.

이력서 파일로 위장한 압축파일 내부에는 '0.png' 이미지 파일과 '(이름) 이력서.doc' 파일이 포함되어 있다. 이미지 파일은 아무런 내용이 없는 단순 파일이며 이력서 파일을 열도록 현혹하는데 활용하는 것으로 추정된다.

이력서 파일은 2017년 12월 6일 오후 7시 41분에 압축된 것을 확인할 수 있으며 마이크로소프트 오피스 문서 파일로 작성되어 있다.

공격자는 12월 6일 악성 파일을 제작해 준비한 다음 12월 7일 오후 12시 20분에 한국의 특정인에게 해킹 이메일을 발신했다.

▲ 악성 DOC 문서가 실행되면 나오는 매크로 실행 유도 화면
▲ 악성 DOC 문서가 실행되면 나오는 매크로 실행 유도 화면
이메일을 받은 이용자가 압축을 해제하고 이력서로 위장한 DOC 문서파일을 실행하게 되면 마치 MS 워드파일의 버전이 호환되지 않아 문서 내용이 깨져 보이는 것처럼 안내하면서, 보안 상 위협에 노출될 수 있는 매크로가 실행되도록 [콘텐츠 사용] 활성화를 유도한다.

해당 파일의 매크로에는 down 명령어 부분에 Base64 코드가 인코딩되어 있으며, 이 부분을 디코딩하면 'monecom.ddns.net/mm.exe' 악성 URL 주소와 감염자 정보 수집 목적의 'monecom.ddns.net/count.php' 사이트가 연결된다.

공격자는 이렇게 매크로를 이용해 악성파일을 유포하고 불특정 다수 기업의 채용 담당자들을 대상으로 감염을 시도한다.

특히 유포된 악성파일이 한국어 기반으로 제작되어 있고 제작자는 'Peter' 영문표기의 윈도우즈 계정명을 사용하고 있다는 것을 알 수 있다.

악성파일이 실행되면 또 다시 파일을 하나 다운로드한다. 추가로 다운로드되는 'mm.zip' 파일에는 다양한 종류의 모듈이 포함되어 있고 내부에는 암호 화폐 채굴 기능 추정의 파일(minerd.exe)이 포함되어 있다. 공격자는 여러 정황상 한글을 사용하고 있다는 것도 알 수 있다.

'minerd.exe' 파일은 가상화폐 채굴 기능이 있는 'crss.exe' 파일을 활용해 작동을 하게 된다. 공격자는 'milqui1979@mail.ru' 러시아 이메일 계정을 사용한다.

이처럼 공격자는 구직 채용 내용으로 사칭한 한국어 맞춤형 스피어 피싱 공격 기법을 활용해 가상화폐 채굴 기반 악성파일을 유포한 것입니다.

이스트시큐리티 시큐리티대응센터(ESRC)측은 “기업의 채용 및 인사담당자는 구직 문의 등으로 접수되는 이메일도 항상 주의하고 매크로 기능이 포함된 문서파일의 경우 절대로 열람하면 안된다. 또한 문서 작성 프로그램은 항상 최신 업데이트를 유지하는 노력도 필요하다”며 “비슷한 사례로 얼마전 비너스락커 랜섬웨어 제작자도 이메일을 통해 가상화폐 채굴 공격을 수행한 바 있다”고 밝히고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★