상세 컨텐츠

본문 제목

비너스락커(VenusLocker) 조직, 입사지원서를 위장한 악성메일을 통한 LockBit 랜섬웨어 유포 재개

악성코드 분석 리포트

by 알약4 2022. 7. 19. 13:42

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

비너스락커(VenusLocker) 조직은 최근 몇 년 동안 국내 불특정 다수를 대상으로 꾸준히 입사지원서와 저작권 침해 등 내용의 메일을 통해 랜섬웨어를 유포하고 있습니다.

 

금일 오전, ESRC는 LockBit 랜섬웨어가 포함된 악성 메일이 대량으로 유포되는 정황을 포착하여 사용자 여러분들의 각별한 주의를 당부 드립니다 .

 

이번 피싱 메일 역시 기존과 마찬가지로 정상적인 이메일 처럼 보이기 위하여 그럴듯한 이메일 내용과 함께 압축파일이 첨부되어 있으며, 압축파일 내에는 MS워드파일을 위장한 .exe 파일이 포함되어 있습니다. 

 

만일 사용자가 해당 파일을 MS워드파일로 오인하여 실행한다면, LockBit 랜섬웨어에 감염되게 됩니다.

 

 

[그림 1] LockBit 랜섬웨어 감염 후 화면



LockBit 랜섬웨어는 7월 초, 3.0 버전이 등장하였지만, 비너스락커 조직은 여전히 LockBit 2.0 버전을 유포중에 있습니다. 하지만 LockBit 3.0 버전이 공개된 만큼, 조만간 업데이트 된 버전을 유포할 것으로 추정됩니다. 

저작권 위반이나 입사지원서를 위장한 피싱메일을 통해 랜섬웨어를 유포하는 방식은 지난 몇년동안 지속된 방식으로, ESRC에서도 수차례 주의를 당부한 바 있습니다. 하지만 여전히 많은 사용자들의 피해가 지속되고 있는 상황입니다. 

사용자 여러분들은 폴더에서 파일 확장명 보기 기능을 활성화 하시어, 문서 파일을 위장한 실행파일을 실행하지 않도록 주의해 주시기 바라며, 중요한 정보는 반드시 주기적으로 백업해 두는 습관을 기르셔야 합니다. 

 

 

[그림 2] 파일 확장명 활성화

 

 

현재 알약에서는 해당 악성파일에 대해 Trojan.Ransom.LockBit로 탐지중에 있으며, 추가 변종에 대해 지속적인 모니터링 중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역