2019-11-14 23:57 (목)
헌법재판소 소환장으로 위장해 유포중인 신종 갠드크랩 랜섬웨어 주의
상태바
헌법재판소 소환장으로 위장해 유포중인 신종 갠드크랩 랜섬웨어 주의
  • 길민권 기자
  • 승인 2019.03.11 21:33
이 기사를 공유합니다

▲ 헌법재판소 소환장으로 위장해 유포되고 있는 갠드크랩 랜섬웨어.
▲ 헌법재판소 소환장으로 위장해 유포되고 있는 갠드크랩 랜섬웨어.
지난 2월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직이 기존의 랜섬웨어 공격의 진화된 형태로 악성코드를 유포하고 있어 각별한 주의가 요구된다.

최근 이 갠드크랩 유포 조직은 '경찰청 소환장', '한국은행 교육', '지마켓 할인쿠폰', '헌법 재판소 소환장' 등을 통해 랜섬웨어를 한국에 집중 유포하고 있는 것으로 확인됐다. 이들 조직은 기존 비너스락커 랜섬웨어 유포 조직과는 확연히 구분되고 있는 상태다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 "이전의 어눌한 한국어 표현과는 달리 이번에 발견된 공격의 경우 한국어 표현이 많이 자연스러워 졌다"며 "이번 갠드크랩 공격은 지난 2월 27일 헌법재판소 사칭 관련 내용이 수정된 버전으로 유포되고 있다. 이메일 제목에 '판례 #'로 시작하는 표현을 담고 있다"고 주의를 당부했다.

이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업을 타깃으로 악성 메일이 발송 되었으며, 기존 어색한 한글 표현의 악성 메일과 달리 정확한 표현과 문법으로 자연스럽게 메일 내용을 작성한 것이 특징이다.

그리고 갠드크랩 랜섬웨어가 첨부된 파일에 비밀번호를 걸어 악성코드 탐지를 회피하려 했다. 하지만 이메일 계정 도메인을 확인해 보면, 한국 헌법재판소에서 사용하는 도메인 주소가 아닌 것을 확인할 수 있다.

만약 사용자가 첨부되어있는 exe 파일을 doc 파일로 간주하고 실행한다면 갠드크랩 5.2에 감염된다.

해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 바 있다.

ESRC 측은 "최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있다"고 설명했다.

★정보보안 대표 미디어 데일리시큐!★