[긴급] 페덱스 배송안내로 위장한 한국형 랜섬웨어 ‘오토크립터’ 확산!

입력 : 2017-05-26 13:52

배송장, 영수증, 페덱스 지점 안내 파일로 위장, 한국 공공기관 및 기업에 다량 전파
비너스락커 랜섬웨어 공격자와 동일인 추정, 최근 RaaS 방식 랜섬웨어로 변종 공격
이스트시큐리티, ‘페덱스(FedEx)’ 사칭한 이메일로 오토크립터 랜섬웨어 유포 포착

[보안뉴스 원병철 기자] 워너크라이 랜섬웨어의 충격에서 벗어나기도 전, 서비스형 랜섬웨어(Ransomware as a Service, RaaS)의 일종인 ‘오토크립터(AutoCryptor)’ 변종이 국제 배송 안내를 사칭한 이메일을 통해 국내에 다량 유포되고 있어 주의를 요하고 있다.


통합 보안 기업 이스트시큐리티(대표 정상원)는 오토크립터 랜섬웨어가 이달 초 기존 랜섬웨어 공격자들이 요구하는 암호 해독 비용 대비 10% 수준인 0.1 비트코인을 요구하는 ‘박리다매’ 형태로 국내에 최초로 확산된 바 있다면서, 최근 정부기관, 민간기업, 커뮤니티 블로거까지 폭넓게 공격하고 있다고 밝혔다.


글로벌 특송 업체인 페덱스(FedEx)의 배송 안내로 위장한 이번 이메일은 ‘leemoonjung1211@gmail.com’이라는 계정으로 ‘FedEx Support Team’을 사칭해 발송됐고, 일부 고객 피해 사례 등도 접수되고 있어 각별한 주의가 필요한 상태이다.

해당 이메일 본문에는 ‘고객님의 물품을 부득이하게 전달할 수 없으니, 첨부된 영수증과 배송장을 출력해 가까운 FedEx 사무실에 방문해 물품을 전달받으세요’라는 일반적인 배송 안내가 적혀있어, 수신자의 관심을 끌고 첨부 파일을 실행하게끔 유도한다. 이메일에 첨부된 압축 파일 내부에는 ‘배송장.jpg’, ‘영수증.jpg’ 등 이미지 파일로 위장된 바로가기(*.lnk) 파일과 ‘페덱스지점안내.doc’ 문서 파일로 위장된 랜섬웨어 기능의 실행 파일(.exe)이 포함되어 있다.

만약 수신자가 육안상 실행 파일이 아닌 것에 안심하거나 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹되어 ‘배송장.jpg’ 파일이나 ‘영수증.jpg’ 파일을 실행할 경우, 바로가기 내부 명령어에 의해 ‘페덱스지점안내.doc’ 파일이 자동으로 실행되고 그 즉시 랜섬웨어에 감염된다.


또한 랜섬웨어에 의한 암호화 과정이 모두 완료되면 바탕화면 등에 ‘THIS_YOU_MUST_READ.txt’ 이름의 랜섬노트 파일이 생성되고, 암호 해독(복호화)을 위해 0.1 비트코인을 요구하는 한국어 안내를 보여준다.

특히 이번 랜섬웨어는 수사기관의 추적을 피하기 위해 토르(Tor) 웹 브라우저로만 접속 가능한 다크 웹(Dark Web) 주소를 사용했으며, 랜섬노트 내용에 ‘술 한 잔 마시는 금액으로 당신의 중요한 파일들을 복구하세요.’라는 유창한 한국어 표현이 사용된 문구가 포함되어 있다.

김준섭 이스트시큐리티 부사장은 “사회적 이슈나 사용자 심리를 활용한 오토크립터 랜섬웨어가 지속적으로 유포되고 있다”며, “갈수록 지능적으로 발전하고 있는 랜섬웨어 공격을 대비하기 위해서 이메일 첨부 파일 실행에 각별한 주의를 기울이고, 백신 프로그램을 통해 주기적인 검사를 하는 습관을 가져야 한다”고 당부했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “이번에 발견된 오토크립터 랜섬웨어 역시 정교하게 작성된 한글 이메일을 활용하는 등 작년 말부터 꾸준히 이어진 비너스락커(VenusLocker) 랜섬웨어의 공격 방식과 상당 부분 일치하는 것으로 분석되었다”며, “일부 코드의 경우 100% 동일하게 제작되어 있는 등 비너스락커 공격자가 다양한 랜섬웨어 변종을 제작해 유포하고 있는 것으로 판단된다”고 전했다.

현재 통합 백신 ‘알약(ALYac)’에서는 이번 오토크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.AutoCryptor’로 진단 후 치료하고 있으며, 랜섬웨어 행위기반 차단 기능을 통해 알려지지 않은 변종에 대한 방어도 지원하고 있다.

한편 이스트시큐리티는 이번 랜섬웨어의 확산을 방지하고 추가로 나타날 수 있는 변종을 신속히 대응하기 위해, 한국인터넷진흥원(KISA)이 주도하는 인텔리전스 네트워크와 긴밀한 공조를 진행하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  [2024 제로트러스트-데이터 보안 리포트]...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...