최근 매크로 이용하거나 입사지원서 위장한 갠드크랩 랜섬웨어 발견

[보안뉴스 권 준 기자] 지난해에 이어 올해 초에도 우리나라에 가장 큰 피해를 입히고 있는 갠드크랩 랜섬웨어가 끈질긴 생명력을 바탕으로 다양한 방식의 공격을 시도하고 있다. 최근엔 입사지원서를 위장하거나 매크로를 이용한 갠드크랩(GandCrab) 랜섬웨어도 발견된 것으로 드러났다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 갠드크랩 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직 시즌에 맞춰 입사지원서 등을 위장한 갠드크랩 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착됐다고 밝혔다. 해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 지원서.doc.link, 지원서jpeg, 포트폴리오.doc 등이 포함된 것으로 분석됐다.


첨부파일을 열어본 사용자가 지원서.doc.lnk 파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc 파일을 실행해서 화면에 보여준다. 정상 doc 파일이 실행되면 ‘훈련 위탁 계약서’라는 제목의 계약서 샘플내용이 화면에 보이게 된다.

기존에 비너스락커 조직에서 유포하던 갠드크랩 랜섬웨어는 주로 5.0.4 버전이 많이 활용되었는데, 1월 17일 경부터 해당 갠드크랩 랜섬웨어의 버전이 5.1버전으로 업데이트 된 것이 주목할 부분이라는 게 ESRC 측의 설명이다.

입사지원서를 사칭한 갠드크랩 뿐만 아니라 최근에는 매크로 기능을 이용한 갠드크랩 랜섬웨어가 발견됐다.

하우리에 따르면 최근 국내에 워드문서의 매크로 기능을 이용해 갠드크랩 랜섬웨어가 유포되고 있다. 저작권 문제로 첨부된 문서를 실행하도록 유도하면서 메일에 첨부된 Project.alz 파일을 압축해제하면 Project.doc 파일명의 문서파일이 포함되어 있고 문서파일을 실행하면 내용 없이 매크로 경고창만 표시된다.


메일 본문의 내용중 워드 구버전으로 작성되어 체크하라는 의미는 매크로를 실행하면 내용을 볼 수 있다는 의미로, 내용 확인을 위해 매크로 실행을 유도하고 있다. 만약 워드의 버전이 낮거나 옵션에서 매크로 차단 설정이 되어 있지 않으면 매크로 명령이 바로 실행된다. 매크로 명령이 실행되면 공격자 서버로 접근하여 파일을 다운로드 및 실행하며, 다운로드한 파일은 갠드크랩 5.1 버전으로 컴퓨터에 저장된 사용자 데이터를 암호화하고 암호화폐를 요구한다는 게 하우리 측의 설명이다.

갠드크랩 랜섬웨어 대응과 관련해서 ESRC 측은 “출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 자제하는 것은 물론 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해야 한다”며, “구직시즌, 음력설 연휴 등을 맞아 공격이 조금씩 증가하고 있는 추세이므로 각별한 주의가 요구된다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>