[긴급] 지방 경찰서 ‘출석 통지서’로 사칭한 갠드크랩 유포중 2019.02.12

파일명에 공백을 길게 넣어 실제 확장자를 못보고 문서파일로 오해하도록 꾸며

[보안뉴스 원병철 기자] 2월 11일 대구 달서경찰서를 사칭해 ‘온라인 명예훼손관련 출석통지서’ 메일을 보낸 후 첨부파일을 실행하면 갠드크랩(GandCrab) 랜섬웨어를 실행시키는 공격이 발견했다. 이스트시큐리티 시큐리티대응센터(ESRC)는 기존과 다른 형태로 악성파일을 유통하고 있다며 주의를 요청했다.

▲대구 달서 경찰서 사칭 이메일[자료=ESRC]


지금 대량으로 유포되고 있는 악성메일은 대구 달서경찰서를 사칭하고 있으며, 온라인 명예훼손관련 출석통지서(향후 변경 가능)라는 제목으로 유포되고 있다. 해당 메일에는 악성파일이 포함된 출석통지서 파일명을 가진 압축파일이 첨부되어 있으며, 해당 압축파일에는 갠드크랩 랜섬웨어 악성코드가 포함되어 있다.

특히, ESRC는 갠드크랩 랜섬웨어 유포방식에 변화가 생겼다고 강조했다. ESRC에 따르면 기존에는 압축파일 내에 악성 매크로가 포함된 워드파일 혹은 .doc, .jpeg를 위장하고 있는 악성코드와 함께 해당 악성코드들을 실행시키는 .lnk 파일이 포함된 방식으로 유포했다.

▲이메일에 첨부된 압축파일의 악성파일. 자세하게 보면 화면 맨 끝에 확장자가 ‘.exe’다[자료=ESRC]


하지만 이번에는 (파일명).doc 긴 공백.exe 형태로 파일명 중간에 공백을 길게 넣어 실행파일(.exe)이 아닌 것처럼 위장했다. 만약 사용자가 압축파일에 포함되어 있는 파일들을 워드 파일로 착각하고 실행한다면, 워드파일로 위장하고 있던 갠드크랩 랜섬웨어 v 5.1이 실행된다.

ESRC는 현재 알약에서는 해당 악성파일을 ‘Trojan.Ransom.GandCrab’으로 탐지하고 있다면서 사용자의 주의를 요구했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


암호화폐 지갑 주소 바꾸는 ‘클리퍼’ 멀웨어, 구글 플레이에 버젓이

크롬OS의 쉴, 권한 삭제되고 샌드박스에 들어가