2019년 10월 10일 "전자상거래 위반행위 조사통지서"로 위장하여 Nemty 랜섬웨어가 유포되고 있는 정황이 포착되었습니다.

ESRC 조사 결과, 비너스락커(VenusLocker) 조직의 소행으로 추정되며, 정부 공문 포맷 이미지를 이용해 현재 대량으로 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

[그림 1] "전자상거래 위반행위 조사통지서"로 위장한 악성 메일

[그림 2] 메일에 첨부된 공정거래위원회 통지서 상세 내용

이번에 발견된 스팸 캠페인은 한메일 계정을 통해 발송되었고, 이전에 유포된 적 있는 공정거래위원회를 사칭했습니다. 

메일의 첨부파일은 7z 형식으로 압축되어 있었으며, 압축파일 내부에는 PDF 문서로 위장한 악성 EXE 실행 파일이 포함되어 있습니다.

[그림 3] 7z 압축파일 안의 악성 실행파일

이번에 발견된 악성 실행파일은 기존과 동일하게 파일명에 긴 공백을 넣어 PDF 파일인 것처럼 위장해 사용자를 속이려 시도했습니다.

따라서 해당 메일을 받은 담당자가 공정거래위원회에서 온 내용으로 착각해 파일을 클릭하면 Nemty 랜섬웨어에 감염되고, 바탕화면에는 아래와 같이 Nemty 랜섬웨어에 감염되었음을 알리는 랜섬노트가 팝업 됩니다.

또한, 랜섬노트 상단에 "NEMTY PROJECT V1.6"라는 문구가 있는 것이 특징이며, 그 외에는 [비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포!] 건에서 전해드린 특징과 동일합니다.

[그림 4] NEMTY PROJECT V1.6 랜섬노트 내용

공정거래위원회 등 국가기관을 사칭한 피싱 메일의 경우 메일을 받은 수신인이 아무런 의심 없이 첨부파일을 다운로드하거나, 메일에 삽입된 링크를 클릭하는 경우가 더 많습니다.

비너스락커 조직의 경우 발송 메일 주소를 한메일이나 네이버 도메인 주소를 사용하는 경우가 많습니다. 

따라서 메일 발신 주소를 꼭 확인하시고 국가기관에서 발송된 메일인데 메일 발신지 주소가 일반 사이트 도메인일 경우, 메일에 첨부된 파일은 백신 검사를 진행하고 첨부파일은 미리 보기 기능을 활용해 내용을 확인하는 것을 권장 드립니다.

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.

*IoC 정보

Nemty 랜섬웨어에 대한 상세 분석 내용과 금일 발견된 악성 샘플과 관련된 자세한 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서도 확인하실 수 있습니다.