2024-03-19 13:55 (화)
공정거래위원회 사칭 Nemty 랜섬웨어 V1.6 대량 살포중…'비너스락커' 조직 소행
상태바
공정거래위원회 사칭 Nemty 랜섬웨어 V1.6 대량 살포중…'비너스락커' 조직 소행
  • 길민권 기자
  • 승인 2019.10.11 16:55
이 기사를 공유합니다

정부 공문 포맷 이미지 이용해 대량으로 유포되고 있어
공정거래위원회 사칭 실제 랜섬웨어 유포 메일 사례
공정거래위원회 사칭 실제 랜섬웨어 유포 메일 사례

10일부터 "전자상거래 위반행위 조사통지서"로 위장해 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었다. 관련 기관과 해당 메일을 받은 이용자들은 첨부파일을 클릭하지 않아야 한다.

이스트시큐리티 시큐리티대응센터(ESRC) 조사에 따르면, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요하다.

이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고 이전에 유포된 적 있는 공정거래위원회를 사칭했다.

메일의 첨부파일은 7z 형식으로 압축되어 있었으며 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 실행 파일이 포함되어 있다.

이번에 발견된 악성 실행파일은 기존과 동일하게 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이려 시도했다.

따라서 해당 메일을 받은 담당자가 공정거래위원회에서 온 내용으로 착각해 파일을 클릭하면 Nemty 랜섬웨어에 감염되고, 바탕화면에는 Nemty 랜섬웨어에 감염되었음을 알리는 랜섬노트가 팝업된다.

또한, 랜섬노트 상단에 "NEMTY PROJECT V1.6"라는 문구가 있는 것이 특징이며, 그 외에는 [비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포!] 건에서 전해드린 특징과 동일하다.

공정거래위원회 등 국가기관을 사칭한 피싱 메일의 경우 메일을 받은 수신인이 아무런 의심 없이 첨부파일을 다운로드하거나 메일에 삽입된 링크를 클릭하는 경우가 많아 각별히 주의해야 한다.

비너스락커 조직의 경우 발송 메일 주소를 한메일이나 네이버 도메인 주소를 사용하는 경우가 많다.

ESRC 관계자는 “메일 발신 주소를 꼭 확인하시고 국가기관에서 발송된 메일인데 메일 발신지 주소가 일반 사이트 도메인일 경우, 메일에 첨부된 파일은 백신 검사를 진행하고 첨부파일은 미리 보기 기능을 활용해 내용을 확인하는 것이 안전하다”고 강조했다.

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★