http://n.news.naver.com/mnews/article/005/0001592047?sid=102

입사 지원서를 가장한 피싱 메일. 압축파일을 해제하고 실행하면 랜섬웨어 공격을 받아 확장자가 락빗(LockBit)으로 바뀐다. ESRC 블로그

최근 공기업 등을 대상으로 채용 공고를 보고 지원하는 구직자로 위장한 랜섬웨어 공격이 벌어진 사실이 확인됐다. 입사 지원서를 가장한 이메일에 첨부된 지원 서류를 열면 악성코드가 실행되는 방식이다.

ESRC(이스트시큐리티 시큐리티대응센터)는 8일 입사 지원서 등을 가장한 피싱(phishing) 메일을 통해 락빗(LockBit) 랜섬웨어와 비다(Vidar) 악성코드가 유포되고 있다며 주의할 것을 당부했다.

랜섬웨어(Ransomware)란 몸값을 뜻하는 ‘랜섬’과 소프트웨어를 뜻하는 ‘웨어’의 합성어로, 해킹과 같은 공격으로 시스템이나 파일을 사용할 수 없도록 잠근 뒤 이를 빌미로 금전을 요구하는 악성 프로그램이다.

이번 랜섬웨어 공격의 주 대상은 공기업 사용자였다.

채용 공고를 올린 기업의 인사 담당자에게 “채용 공고를 보고 연락드린다” “면접이나 출근은 어떤 시간에도 가능하다” 등의 메시지와 함께 입사 지원서처럼 보이는 압축파일을 메일에 첨부하는 방식으로 이뤄졌다.

압축파일을 클릭한 뒤 메일 본문에 적힌 비밀번호로 잠금을 해제하면 ‘exe’ 확장자의 실행파일이 숨겨져 있다. ESRC는 “파일명과 확장자 사이에 다수의 공백이 추가됐다”며 “한글 파일과 엑셀 파일의 아이콘을 사용해 (악성코드 실행 파일의) 실행을 유도하고 있다”고 설명했다.

해당 파일을 실행함과 동시에 확장자는 락빗(LockBit)으로 바뀌어 버린다. 이용자의 PC 내 로컬 드라이브, 연결된 네트워크 공유 드라이브, 공유 폴더들은 전부 암호화된다.