같은 날 구직자 이름만 바꾼 동일한 갠드크랩 랜섬웨어 이메일 연이어 발송

[보안뉴스 원병철 기자] 새로운 직원을 찾는 기업과 새로운 직장을 찾는 사람들이 늘어나며 구인구직 사이트가 뜨거운 봄철, 이들을 노린 이력서 사칭 갠드크랩 랜섬웨어가 기승을 부리고 있어 사용자들 주의가 요구하되 있다.


29일 발견된 이력서는 ‘(입사지원)윤설아입니다’와 ‘안녕하세요. 김진주입니다.’란 제목의 2종이다. 제목은 서로 다르지만 발신 메일이 각각 [jjo2017@recommendationnavils.○○○>]와 [jjo2013@recommendationnavils.△△△>]로 유사한 계정을 사용하고 있으며, 각각 ‘이력서(윤설아).egg’ 파일과 ‘이력서(김진주).alz’ 파일을 첨부하고 있다.

이메일 본문 역시 매우 유사하다. 윤설아 지원자 사칭 메일은 ‘전 직장에서 1년 동안 일한적이 있습니다. 열정적으로 하겠습니다!’라고 기재되어 있으며, 김진주 지원자 사칭 메일은 ‘전 직장에서 3년동안 일한 적이 있습니다. 열정적으로 하겠습니다!’라고 서술돼 있다.


첨부파일은 각각 다른 방식으로 압축되어 있지만, 압축프로그램을 이용해 실제 압축을 풀어보면, 동일한 용량(434,688MB)의 동일한 파일임을 확인할 수 있다. 또한, 이력서는 PDF파일로 위장하고 있지만, 실제로 파일명을 살펴보면 스페이스바를 이용한 공란이 길게 있으며, 결국 .exe 실행파일이라는 것을 알 수 있다.

실제로 안티바이러스 프로그램을 이용해 파일을 검사해보면 두 파일 모두 ‘Trojan.Ransom.GandCrab’이란 진단명을 받을 수 있다.

보안전문가는 “구인구직 활동이 늘어나는 봄철에는 특히 이력서를 사칭한 랜섬웨어가 늘어난다”면서 “의심스러운 이메일은 삭제하거나 첨부파일은 반드시 열어보기 전에 안티바이러스 제품 등으로 꼭 확인해볼 것”을 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>