<보안메일> 진화하는 랜섬웨어의 습격


상큼한 기분으로 회사에 출근한 직장인 A씨는 여느 때와 마찬가지로 간밤에 들어온 이메일을 확인했다. 유난히 회사 메일 계정과 같은 도메인에서 보내온 메일 여러 통이 있었다. 별다른 내용 없이 문서파일 하나만 달랑 첨부된 메일이었다. "얼마나 급하면 메일 내용 적을 시간이 없었겠어..." 라는 생각에 별다른 의심 없이 첨부된 파일을 열었다. 얼마 지나지 않아 A씨는 PC에 있는 모든 파일을 읽을 수 없는 상태가 되었음을 확인했다.


온라인 대형 커뮤니티와 언론사 웹사이트 등을 통한 유포가 다소 잠잠해지자 이메일을 이용한 공격이 다시 고개를 들고 있다. 문서 파일로 위장하는가 하면 메일 헤더값을 변조해 수신자와 같은 도메인을 가진 허위 발송 계정을 생성해 피해자들을 손쉽게 속인다.


최근 발견된 '록키 (Locky)' 랜섬웨어 변종은 마이크로소프트 (MS) 워드 확장자 형식 중 하나인 'DOCM' 형태의 문서를 이메일에 첨부한다. 기존 록키 랜섬웨어 역시 기업 업무 등에 자주 사용되는 문서 확장자 형식 (.doc / .xlsx 등) 을 가진 파일을 첨부해 사용자가 열어보도록 유도했다.


수신자가 수상한 점을 발견하지 못하도록 발송자 이름과 메일 주소를 교묘하게 변조한다. 또한 관리자 (admin, administrator), 프린터 (printer), 고객센터 (support / helpdesk) 등으로 메일 도메인 앞에 붙는 아이디를 랜덤 생성해 자연스럽게 호기심을 불러일으키기도 한다. 기업에서 많이 사용하는 아웃룩이나 웹메일 등에서는 메일 리스트에 헤더 정보만 표시하기 때문에 언뜻 보기에 회사 내부자가 발송한 메일처럼 보인다.



      


DOCM 포맷은 사용자가 미리 저장한 여러 명령어를 하나로 실행하게 만든 MS워드의 매크로 문서 파일이다. 메일에 첨부된 문서를 수신자가 열면 해커가 미리 심어둔 매크로가 실행되면서 랜섬웨어에 감염된다.


보안 설정에 따라 DOCM 파일 실행 시, 콘텐츠 사용 여부를 묻는 버튼이 워드 상단에 나타난다. 콘텐츠 사용 버튼을 클릭하는 순간 매크로가 실행된다.


록키와 마찬가지로 이메일로 유표되는 케르베르 (cerber) 랜섬웨어의 변종도 국내 유포된 정황이 포착되었다. JS 압축파일이 첨부된 이메일을 발송하고 랜섬웨어에 감염되면 음성 메시지로 감염 사실을 안내한다.


이스트소프트의 한 관계자는 "록키, 케르베르 등 이메일로 유포되는 랜섬웨어 변종이 연이어 발견되고 있다" 면서 "이메일 유포와 배너 광고 등의 다양한 공격 기버이 활동주기를 번갈아가면서 교모해졌다고" 말했다.








저작자 표시 비영리 변경 금지
신고

태그

이전 글

*

*

티스토리 툴바