check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

변종 갠드크랩 랜섬웨어 택배 배송 사칭해 유포 중...주의

2018년 05월 15일(화)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

▲ 특정 택배 배송팀으로 위장한 악성 이메일 화면. 이스트시큐리티 제공.
▲ 특정 택배 배송팀으로 위장한 악성 이메일 화면. 이스트시큐리티 제공.
5월 14일 한국의 유명 택배회사 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요구된다.

유포에 활용된 이메일 내용을 보면, 유창한 한국어로 작성되어 있으며 마치 실제 택배 배송관련 안내 메일처럼 교묘하게 만들어져 있다.

이메일에 첨부되어 있는 '한진택배.egg' 압축 파일 내부에는 '배송장_386572.doc', '영수증_386572.doc' 등 MS Word 파일이 포함되어 있다.

이름이 다른 2개의 파일은 실제로는 동일한 파일이며, 워드 파일을 실행하면 보안 경고 창과 매크로 실행 유도화면을 보여준다.

만약, [콘텐츠 사용] 버튼을 클릭해 매크로 기능을 활성화시키면 내부 매크로 코드 명령에 의해 한국의 특정 언론사 웹 사이트로 접속한다.

이용자가 여기서 [확인]버튼을 클릭하면 매크로 기능에 의해 명령제어(C2) 서버로 연결되어 'ha.exe' 파일을 다운로드 한다.

해당 서버에 등록되어 있는 갠드크랩 랜섬웨어는 공용폴더(C:\User\Public)에 'putty.exe' 파일명으로 생성되고 실행된다.

공격자가 구축해 둔 명령제어(C2) 서버에는 지속적으로 새로운 변종 랜섬웨어가 등록되어지고 있는 것을 확인했다.

이스트시큐리티 ESRC는 "최근 한국 맞춤형 갠드크랩 랜섬웨어 이메일이 국내에 지속적으로 유포되고 있으며 매우 다양한 형태로 진화하고 있다. 랜섬웨어 보안위협에 노출되지 않도록 각별한 주의가 필요하다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기