본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

지속적으로 유포되는 '입사지원서/이력서 위장 Makop 랜섬웨어' 메일 주의 (비너스락커 조직)

보안공지 2021-04-05



현재 입사지원서, 이력서를 위장한 Makop랜섬웨어가 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다. 

이번에 발견된 메일은 “쾌활하고 유능한 사람입니다”라는 제목으로 수신되었으며, 특정 기관의 인사/채용 관계자를 타깃으로 발행된 것으로 확인되었습니다.

 

이력서 위장 이메일 화면

 

메일에 첨부 된 압축파일 내부에는 이력서와 입사지원서 파일이 포함되어있지만 문서 파일이 아닌 실행파일(EXE)로 구성되어 있는 것이 확인됩니다.

 

첨부 된 압축파일 내부 화면

 

압축 해제 된 PDF 아이콘을 사용 한 실행파일(exe) 화면

 

 

사용자가 압축 파일을 해제하여 PDF 아이콘으로 위장된 파일을 실행할 경우 랜섬웨어 행위를 수행합니다.

 

먼저, Windows 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제합니다.

CMD 명령어를 사용한 볼륨 섀도 삭제 화면

 

이후 현재 사용자가 사용 중인 프로세스와 관련된 파일들을 암호화시키기 위해 실행 중인 프로세스들을 확인하고 종료시킵니다.

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

 

프로세스를 확인이 종료되면 사용자 PC의 파일들의 암호화를 진행합니다.
감염 시 “원본 파일명.[<Random 8자>].[pecunia0318@airmail.cc].pecunia” 로 파일명이 변경됩니다.

암호화 된 파일 화면

 

파일 암호화가 종료되면 복호화를 위한 결제 안내 메시지가 담겨있는 랜섬 노트를 생성합니다.

감염자 PC의 생성 된 랜섬 노트 화면

 

이와 같이 출처가 불분명한 메일에 첨부된 파일을 실행하면 악성코드에 감염이 될 수 있으며 소중한 정보가 암호화되는 최악의 상황이 될 수 있다. 따라서 확인되지 않은 메일의 첨부 파일 실행을 지양해야 하며 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.

 

현재 알약에서는 'Trojan.Ransom.Makop'탐지 명으로 탐지 중입니다.