2019-08-21 16:34 (수)
지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포...주의
상태바
지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포...주의
  • 길민권 기자
  • 승인 2019.02.12 13:08
이 기사를 공유합니다

▲ 지방 경찰서 사칭 이메일
▲ 지방 경찰서 사칭 이메일. 이스트시큐리티 제공.
최근 지방 경찰서를 사칭한 악성 메일 유포 방식으로 갠드크랩(GandCrab) 랜섬웨어가 살포되고 있어 사용자들의 각별한 주의가 요구된다.

이스트시큐리티에 따르면, 11일부터 지방 경찰서를 사칭한 악성 메일이 대량으로 유포되고 있다. 해당 메일들은 출석통지서.rar이 포함하고 있으며, 온라인 명예훼손 관련 출석통지서(향후 변경 가능)라는 제목으로 유포 중이다. 압축파일 내에는 갠드크랩 랜섬웨어가 포함되어 있다고 경고했다.

한편 이번 공격에서 주의할 점은 갠드크랩 랜섬웨어 유포방식에 변화가 생겼다는 점이다. 기존에는 압축파일 내에 악성 매크로가 포함된 워드파일 혹은 .doc, .jpeg를 위장하고 있는 악성코드와 함께, 해당 악성코드들을 실행시키는 .lnk 파일이 포함된 방식으로 유포했다.

하지만 이번에는 (파일명).doc (긴 공백).exe 형태로 파일명 중간에 공백을 길게 넣어 실행파일(.exe)의 형태로 유포되고 있으며, 파일명과 확장자명 사이에 긴 공백을 넣어 실행파일이 아닌 워드파일인 것처럼 위장하고 있다.

이스트시큐리티 측은 "만약 사용자가 압축파일에 포함되어 있는 파일들을 워드 파일로 착각해 실행한다면 워드 파일로 위장하고 있던 갠드크랩 랜섬웨어 v5.1이 실행되게 된다"며 "이번 악성메일의 유포자 정보를 추적하면, 최근 국내에 대량으로 유포되고 있는 다양한 형태의 갠드크랩 랜섬웨어 유포자와 동일하다는 것을 확인할 수 있다"고 설명했다.

mushuerk@gmail.com 계정을 이용하는 공격자(혹은 조직)는 끊임없이 다양한 방식을 통해 국내에 갠드크랩 랜섬웨어를 유포하고 있으며, 이미 경찰을 사칭해 랜섬웨어를 유포한 적도 있었다. 이 공격 조직은 2017년 국내에 비너스락커 랜섬웨어를 유포한 공격자로도 지목된 바 있다.

★정보보안 대표 미디어 데일리시큐!★