입사지원 사칭해 악성코드 심은 첨부파일로 감염 유도

[보안뉴스 김경애 기자] 최근 국내에서 입사지원 내용으로 위장한 악성코드가 이메일로 유포돼 이용자들의 주의가 요구된다.


악성코드는 지난 28일 오전에 유포됐으며, 통신판매업체가 악성코드가 담긴 해당 메일을 받은 것으로 알려졌다. 이메일 본문에는 능숙한 한국어와 함께 악성코드가 담긴 EGG 압축 파일이 포함돼 있다.

이를 분석한 백신업체 하우리에 따르면 ‘지원합니다.egg’ 첨부파일에는 ‘문의사항’, ‘신분증사본.jpg’ 파일이 첨부돼 있으며, 이 파일들은 숨김속성으로 악성파일을 실행하는 바로가기(.lnk)파일”이라며 “악성파일은 반디집의 파일명과 아이콘으로 위장했다”고 밝혔다. 숨김 속성의 경우, 압축 해제시 환경에 따라 악성코드를 제외한 두 개의 바로가기 파일만 보일 수 있어 쉽게 감염될 수 있다.

더군다나 위와 유사한 문의사항(김민지).doc.lnk, 사진캡쳐1.jpg.lnk 등 변형된 바로가기 파일도 유포되고 있어 더욱 세심한 주의가 필요하다.


특히, 이번에 발견된 입사지원 위장 악성코드는 ‘올해 상반기 사내내부지침사항’, ‘과태료부과고지서’ 등의 특정 키워드를 이용한 ‘비너스락커’ 랜섬웨어 유포 방식과 유사해 이목이 집중되고 있다. 이번에 발견된 바로가기 파일은 비너스락커 바로가기 파일의 특정경로 ‘C:\Users\l\Desktop\양진이\VenusLocker_koread.exe’가 일치했다.


이와 관련 하우리 보안대응센터 김정수 센터장은 “이번에 발견된 악성코드는 입사지원 내용으로 소규모 통신판매업체로 메일을 보내졌으나 실제로 첨부파일에는 입사지원서가 없다”며 “첨부파일에는 신분증사본.jpg.lnk, 문의사항.lnk, Bandizip.exe(숨겨짐) 이 3개 파일이 EZZ 압축파일 형태로 담겨 있었다”고 밝혔다.

그러면서 김정수 센터장은 “ 이메일에 첨부된 압축파일 암호 유무성, 악성코드의 숨김속성 등에서는 일부 차이가 있지만 올해 초에 유포된 비너스락커 랜섬웨어 제작자들이 악성 lnk 파일의 실행대상파일과 아이콘만을 변경해 재사용한 흔적이 발견됐다”며, “추후 동일한 조직이 변형된 악성코드를 지속적으로 제작해 유포할 가능성이 있어 주의가 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>