"입사 지원서인 줄 알았는데"…취준생 위장한 랜섬웨어
등록 2023.03.09 06:00:00수정 2023.03.09 08:04:44
상반기 채용 시즌 노린 '입사지원서 피싱 메일' 유포
첨부파일 클릭하면 랜섬웨어 감염·정보탈취 피해
입사지원서로 위장한 피싱메일 유포가 빈발하고 있다 *재판매 및 DB 금지
【서울=뉴시스】송혜리 기자 = "공고 보고 지원드립니다. 언제나 열심히 하는 000입니다. 보내드린 지원서 파일 비밀번호는 0000입니다. 열심히 하겠습니다!!"
패기 넘치는 지원자의 입사 지원서인 줄 알고 무심코 클릭했다가 랜섬웨어 등 악성 코드에 감염되는 사례가 빈발해 각별한 주의가 요구된다. 첨부파일 실행 시 아이콘이 문서 파일로 보이더라도 파일 확장자를 꼭 확인해 실행파일의 경우 열지 않도록 해야한다.
9일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 입사지원서로 위장한 피싱 메일을 통해 락빗 랜섬웨어와 비다(Vidar) 악성코드가 유포되고 있다. 이번 공격은 주로 공기업 인사담당자를 대상으로 했다.
해당 피싱 메일은 각오 등을 담은 짧은 입사지원 내용과 함께 압축파일이 첨부돼 있다. 압축파일은 지원서류로 위장했으며, 비밀번호가 설정돼 있다. 비밀번호는 이메일 본문에 적혀있다.
입사지원서를 위장한 피싱 메일 *재판매 및 DB 금지
이 압축파일을 열어보면 .alz 파일이 있으며, 이 .alz 파일 내부에는 악성 파일이 심어져 있는 이력서와 지원서가 담겨 있다.
이력서에 심어져 있는 악성 파일이 실행되면 사용자 PC내 로컬 드라이브, 연결된 네트워크 공유 드라이브, 연결된 공유 폴더들을 암호화 한 후 .lockbit(락빗) 확장자로 변경한다. 또한 파일 복구를 어렵게 하기 위해 로컬 백업을 삭제하며, 바탕화면 변경 등을 통해 랜섬웨어에 감염됐다는 사실을 사용자에게 알린다.
지원서로 위장한 악성 파일은 정보탈취 악성코드인 비다(Vidar) 악성코드의 변종이다. 사용자가 해당 파일을 실행하면 특정 텔레그램 주소에 접속해 이 텔레그램 프로필에 적혀있는 명령제어(C&C) 주소를 받아 온 뒤, 해당 C&C에 접속해 압축 파일을 내려받는다. 다운로드 되는 압축파일 내에는 정보 유출이 필요한 기능이 구현된 파일들이 포함돼 있다.
ESRC 측은 "입사지원서를 위장한 피싱 메일을 통해 랜섬웨어 및 악성코드를 유포하는 방식은 공격자들이 즐겨 사용하는 공격 방식 중 하나"라며 "사용자들의 각별한 주의가 필요하다"고 당부했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
