보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

입사지원 메일로 위장한 악성코드 유포중…정보유출 위험

▲ 악성 메일 내용. 하우리 제공.

▲ 악성 메일 내용. 하우리 제공.

 

최근 “입사지원” 메일로 위장한 악성코드의 유포 정황이 발견되어 국내 기업들의 각별한 주의가 필요한 상황이다.

이번에 발견된 악성코드는 유창한 한국어로 작성된 입사지원 내용과 악성 첨부파일을 포함해 메일로 발송되었다.

첨부파일은 “지원합니다.egg”으로 압축되어 있으며, “문의사항.lnk”, “신분증사본.jpg.lnk” 바로가기 파일을 통해 악성코드가 실행된다.

해당 악성코드는 국내 무료 압축 유틸리티인 ‘반디집(Bandizip)’ 파일명과 아이콘으로 위장하고 있으며 숨김 속성을 가지고 있다.

 

 

▲ 첨부파일에 포함된 악성코드 실행 과정. 하우리 제공.
▲ 첨부파일에 포함된 악성코드 실행 과정. 하우리 제공.

 

이 악성코드는 사용자의 키보드 입력 데이터와 주요 정보 등을 수집해 명령제어(C&C) 서버로 전송한다.

한편 “문의사항(김민지).doc.lnk”, “사진캡쳐1.jpg.lnk” 등 변형된 바로가기 파일도 유포되고 있다.

이번 입사지원 위장 악성코드는 올해 상반기 “사내내부지침사항”, “과태료부과고지서” 등의 특정 키워드를 이용한 “비너스락커” 랜섬웨어 유포 방식과 유사점이 발견되었다.

두 악성코드는 △유창한 한국어로 작성된 메일 내용 △“.EGG” 압축파일 △바로가기 파일 사용 △”지메일(Gmail)” 계정 사용 △디코딩 및 인젝션 코드가 유사하다.

특히 바로가기 파일에 포함된 특정 경로는 “C:\Users\l\Desktop\양진이\VenusLocker_korean.exe”로 일치했다. 하지만 압축파일의 암호 유무, 악성코드의 숨김속성 등 일부 차이가 존재했다.

하우리 보안대응팀 이희주 연구원은 “이번에 발견된 악성코드는 상반기에 다수 유포된 비너스락커 랜섬웨어 조직과 유포 방식이 매우 유사하지만, 이를 모방한 세력의 가능성도 배제할 수 없다”며 “최근 국내 사용자를 위협하는 맞춤형 악성 메일이 발견되고 있어 사용자들의 각별한 주의가 필요하다”고 밝혔다.