최근 입사 지원 사칭 메일을 통해 최신 ‘갠드크랩(GandCrab)’ 랜섬웨어가 마구잡이로 유포되는 정황이 포착돼 기업 입사 담당자의 주의가 요구된다.
16일 이스트시큐리티에 따르면, 이번에 발견된 랜섬웨어는 갠드크랩의 최신 5.0.4 버전으로, 기업에서 가장 많이 쓰는 문서 작성 프로그램인 MS 워드의 매크로 기능을 악용해 공격을 시도한다.
갠드크랩 5.0.4 버전은 메일 수신자가 첨부된 악성 워드 문서 파일을 실행한 후 매크로 활성화를 허용하면 자동으로 랜섬웨어를 내려받아 실행하는 방식으로 공격을 수행한다. 이 문서는 특정 개인정보를 포함한 입사 지원서를 사칭하고 있어 업무상 지원서를 접수하는 기업 담당자가 무심코 파일을 실행해 랜섬웨어에 감염될 가능성이 높다.
이스트시큐리티에 따르면, 이 랜섬웨어는 2018년 11월 15일 오전 한국어 기반 환경에서 제작됐다. 악성 문서의 매크로 코드는 분석을 방해하기 위해 대부분 난독화 처리돼 있다.
문서를 열면 워드 파일의 버전 차이로 내용 확인이 되지 않는다며 ‘콘텐츠 사용' 또는 ‘편집 사용' 버튼을 클릭하도록 유도하는 안내가 뜬다. 이는 MS 워크드 보안 경고를 회피해 공격자가 사전에 설정해둔 매크로 기능을 실행하도록 유인하는 문구다.
만약 수신자가 이를 허용하면 즉시 갠드크랩 랜섬웨어가 PC에 설치되고 PC 내 주요 파일을 암호화한다. 암호화된 파일은 더 이상 읽고 쓸 수 없게 된다.
공격자는 이후 텍스트 파일을 통해 암호화된 파일을 복구하기 위해서는 토르 브라우저도 특정 사이트에 접속하라고 안내한다. 토르 브라우저는 일반 포털 사이트에서 검색되지 않는 인터넷 공간인 ‘딥 웹'에 접속할 수 있는 도구다. 접근 방식이 일반적이지 않은 만큼 범죄자가 불법적인 목적으로 많이 쓰는 브라우저다.
해당 사이트에 접속하면 암호화된 파일 복구를 대가로 가상화폐(암호화폐)인 비트코인이나 대시로 지불을 요구하는 화면이 나타난다.
문종현 이스트시큐리티 시큐리티대응센터장은 "이번 갠드크랩 랜섬웨어는 기존 비너스락커 랜섬웨어 유포 조직이 가담한 것으로 보인다"며 "한국 맞춤형 랜섬웨어라는 점에서 주요 자료를 많이 다루는 국내 기업과 기관은 반드시 자료를 분리 보관하고, 임직원이 보안 수칙을 준수하도록 최선의 노력을 기울여야 한다"고 당부했다.