10일, 비너스락커 랜섬웨어 조직이 입사지원서로 위장한 피싱 메일을 통해 Makop 랜섬웨어를 대량으로 유포하는 정황이 포착됐다. 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 피싱 메일에는 "입사지원서_220109(경력사항도 같이 기재하였습니다 잘부탁드립니다)"라는 파일명을 가진 .exe 파일이 첨부되어 있다. 해당 .exe 파일은 한글 파일 아이콘을 위장하고 있다고 전했다.

사용자가 해당 파일을 정상 파일로 오인해 실행하면 Makop 랜섬웨어 실행된다.

해당 샘플은 분석을 어렵게 하기 위해 NSIS(Nullsoft Scriptable Install System)를 사용했으며, 라이브러리와 소스를 특정 폴더에 드랍하고, 필요한 함수들을 메모리에 로딩하고 스스로 프로세스를 생성해 자신에게 인젝션을 실행하는 형태로 동작한다.

이후 볼룸 쉐도우를 삭제해 복구를 어렵게 하며, 다른 파일들을 암호화하게 된다.

암호화 후 파일 확장자를 [CD59D479].[baseus0906@goat.si].baseus으로 변경하며 'readme-warning.txt' 제목의 랜섬노트를 띄운다.

ESRC는 “사용자들은 출처가 불분명한 이메일에 포함된 파일을 실행하지 않도록 각별한 주의가 필요하다. 또한 중요한 파일들은 정기적으로 외장 매체(USB, 외장HDD) 등에 백업해두는 습관을 가져야 한다”고 권고했다.

★정보보안 대표 미디어 데일리시큐!★