피고 소환장 사칭한 메일로 랜섬웨어 유포...감염되지 않도록 주의해야
소환장 다운로드 링크 실행 시 악성코드 포함된 압축파일 다운로드

[보안뉴스 김경애 기자] 최근 피고 소환장을 사칭한 메일 내용으로 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.


메일은 메일을 받은 사람이 고소를 당했다는 메시지와 함께 소환장을 다운로드 할 수 있는 링크가 함께 첨부되어 있다. 링크에 제공된 정보를 통해 청문회 날짜 및 시간을 보낸다는 내용으로 메일을 받은 사람이 링크를 실행하도록 유도하고 있다.

해당 링크 실행 시 악성코드를 포함하고 있는 압축 파일이 다운로드 된다. 동일한 메일 내용으로 악성코드 다운로드 링크 주소만 변경된 채 메일이 유포되고 있으며 악성코드 다운로드 링크의 형식은 hxxp://(도메인)/wp-content/uploads/(숫자4)/(숫자2)/(랜덤6).php?name=(파일명)이다.


유포되는 링크 주소만 다를 뿐 다운로드 되는 파일은 모두 동일하며 압축을 해제하면 자바스크립트 악성코드 파일이 들어있다.


해당 악성코드는 실행 시 특정 서버와 통신하여 악성코드를 다운받아 온다.


다운로드 된 악성코드는 아래의 경로에 저장된 후 바로 실행되며 엑셀 아이콘을 이용하여 정상파일로 위장하고 있다.


실행되는 악성코드는 GandCrab(v4) 랜섬웨어이며 PC에 있는 파일의 확장자를 KRAB로 변경한다. 파일의 암호화가 끝난 폴더에는 KRAB-DECRYPT.txt 라는 이름을 가진 랜섬노트가 생성된다.


이 악성코드는 ‘고소장’이라는 다소 위협적인 내용의 메일을 통해 유포되고 있다. ‘링크를 확인하지 않는 경우 불이익을 당할 수 있다’는 내용의 해당 스팸메일은 일반 사용자의 입장에서 충분히 불안감을 느끼게 하고 링크를 확인할 수밖에 없도록 클릭을 유도하고 있다.


또한 같은 내용의 소환장 메일이 7월 초에는 악성코드가 첨부파일 형태로 메일에 포함돼 배포된 반면, 8월에 배포된 메일에는 첨부파일 대신 악성코드 다운로드 링크만 추가됐다. 첨부파일의 경우 보안 솔루션에 탐지돼 제대로 다운로드 되지 못하는 경우가 많기 때문에 첨부파일 대신에 다운로드 링크를 포함한 것으로 예상된다. 이처럼 더 많은 사용자들을 감염시키기 위해 스팸메일에 악성코드를 포함하는 방법 또한 발전하고 있으므로 국내 사용자들의 각별한 주의가 요구된다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>