실시간 뉴스



입사지원서 사칭 '갠드크랩' 랜섬웨어 국내 유포


MS워드 매크로 기능 악용

[아이뉴스24 김국배 기자] 입사지원서를 사칭한 '갠드크랩' 랜섬웨어가 국내 사용자를 대상으로 유포되고 있다.

보안업체 이스트시큐리티는 지난 15일 오후부터 갠드크랩 랜섬웨어 5.0.4 버전이 국내에 확산되는 정황을 포착했다고 16일 주의를 당부했다.

갠드크랩은 국내에서 가장 활발히 유포되는 랜섬웨어 가운데 하나다. 한국어 기반 환경에서 제작된 이번 버전은 마이크로소프트(MS) 워드에서 제공하는 매크로 기능을 악용해 공격을 시도한다. 매크로는 문서작성 중 반복적인 동작이 필요할 때 사전에 기록된 명령을 자동 실행해 문서편집의 효율성을 높여주는 기능이다.

공격자는 악성 워드 문서 파일을 첨부한 이메일을 불특정 다수에게 발송한 뒤 사용자가 첨부 파일을 열람해 매크로 활성화를 허용하면 자동으로 랜섬웨어가 설치되도록 했다.

특히 해당 파일은 특정 개인정보가 담긴 입사지원서를 사칭하고 있어 무심코 파일을 실행해 랜섬웨어에 감염될 가능성이 크다. 문서를 실행하면 워드 파일 버전 차이로 내용이 확인되지 않는다며 '콘텐츠 사용' '편집 사용' 버튼 클릭을 유도하는 안내가 보인다. 클릭하는 순간 랜섬웨어가 설치되고 PC에 저장된 주요 파일이 암호화된다.

이후 공격자는 PC에 생성된 협박 메시지(랜섬노트)를 통해 복호화를 위해 토르 브라우저로 특정 사이트에 접속할 것을 요구한다. 이 사이트에 접속하면 암호화폐인 대시, 비트코인을 요구하는 화면이 나타난다.

문종현 이스트시큐리티 이사는 "기존 '비너스락커' 랜섬웨어 유포 조직이 이번 공격에도 가담한 것으로 판단된다"며 "한국 맞춤형 랜섬웨어 공격이 끊임없이 발생하고 있기 때문에 주요 자료를 많이 다루는 기업과 기관은 반드시 자료를 백업하고 임직원이 보안 수칙을 준수하도록 노력을 기울여야 한다"고 말했다.

김국배기자 vermeer@inews24.com






alert

댓글 쓰기 제목 입사지원서 사칭 '갠드크랩' 랜섬웨어 국내 유포

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스