[긴급] 구인구직 급증 봄철, 이력서 위장 랜섬웨어 연이어 출현
  |  입력 : 2019-04-29 18:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
같은 날 구직자 이름만 바꾼 동일한 갠드크랩 랜섬웨어 이메일 연이어 발송

[보안뉴스 원병철 기자] 새로운 직원을 찾는 기업과 새로운 직장을 찾는 사람들이 늘어나며 구인구직 사이트가 뜨거운 봄철, 이들을 노린 이력서 사칭 갠드크랩 랜섬웨어가 기승을 부리고 있어 사용자들 주의가 요구하되 있다.

▲‘안녕하세요. 김진주입니다’ 제목의 갠드크랩 랜섬웨어 이메일[자료=보안뉴스]


29일 발견된 이력서는 ‘(입사지원)윤설아입니다’와 ‘안녕하세요. 김진주입니다.’란 제목의 2종이다. 제목은 서로 다르지만 발신 메일이 각각 [jjo2017@recommendationnavils.○○○>]와 [jjo2013@recommendationnavils.△△△>]로 유사한 계정을 사용하고 있으며, 각각 ‘이력서(윤설아).egg’ 파일과 ‘이력서(김진주).alz’ 파일을 첨부하고 있다.

이메일 본문 역시 매우 유사하다. 윤설아 지원자 사칭 메일은 ‘전 직장에서 1년 동안 일한적이 있습니다. 열정적으로 하겠습니다!’라고 기재되어 있으며, 김진주 지원자 사칭 메일은 ‘전 직장에서 3년동안 일한 적이 있습니다. 열정적으로 하겠습니다!’라고 서술돼 있다.

▲첨부파일인 이력서(윤설아).egg로 사칭한 갠드크랩 랜섬웨어 실행파일[자료=보안뉴스]


첨부파일은 각각 다른 방식으로 압축되어 있지만, 압축프로그램을 이용해 실제 압축을 풀어보면, 동일한 용량(434,688MB)의 동일한 파일임을 확인할 수 있다. 또한, 이력서는 PDF파일로 위장하고 있지만, 실제로 파일명을 살펴보면 스페이스바를 이용한 공란이 길게 있으며, 결국 .exe 실행파일이라는 것을 알 수 있다.

실제로 안티바이러스 프로그램을 이용해 파일을 검사해보면 두 파일 모두 ‘Trojan.Ransom.GandCrab’이란 진단명을 받을 수 있다.

보안전문가는 “구인구직 활동이 늘어나는 봄철에는 특히 이력서를 사칭한 랜섬웨어가 늘어난다”면서 “의심스러운 이메일은 삭제하거나 첨부파일은 반드시 열어보기 전에 안티바이러스 제품 등으로 꼭 확인해볼 것”을 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)