본문 바로가기
Security Essay

이력서 파일로 위장한 랜섬웨어 피싱 메일

by _Jay_ 2023. 1. 15.
반응형

 

 

최근 경기가 어려워짐에 따라 기업들이 채용을 많이 줄이고 있는데요. 하지만 사람인이나 잡플래닛 같은 사이트를 보면 여전히 채용 공고가 활발히 올라오고 있는 것 같습니다. 보통 기업들에서 채용공고 사이트를 이용하여 지원자들의 이력서를 받고 있지만, 많은 수의 기업들이 직접 메일을 통해서 이력서를 받고 있죠.

 

그런데 해커들이 이러한 기업들을 노리고 랜섬웨어를 이력서로 위장하여 기업의 인사팀에게 보내고 있는 것이 확인되었다고 하는데요. 그래서 오늘은 간단히 랜섬웨어로 위장한 이력서 메일 사례에 대해 말씀드리도록 하겠습니다.

 

이력서로 위장한 랜섬웨어가 포함된 피싱 메일, 출처: 이스트시큐리티


일단 해당 메일에서는 "언제나 미소를 가지고 준비된 지원자입니다"라는 제목을 가지고, 비밀번호가 설정된 이중 압축파일 형태의 첨부파일이 존재한다고 합니다. 압축파일을 해제하면 한글 파일과, 엑셀 파일로 위장한 두 개의 실행파일이 담겨있었습니다.

 

이 파일들 중 하나는 랜섬웨어인 록빗(LockBit) 3.0, 다른 하나는 정보탈취 악성코드인 비다르(Vidar)가 실행됩니다. 랜섬웨어의 경우 데이터를 암호화하여 비트코인과 같은 몸값을 요구하고, 정보탈취 악성코드는 시스템 정보를 수집하여 해커의 C&C 서버로 전송하겠죠.

사실 어느 정도 컴퓨터에 익숙하신 분들이라면, 압축 파일을 열 때 아이콘이 실행 파일로 되어 있다면 악성코드로 위장한 녀석인 것을 쉽게 파악하실 수 있습니다. 하지만 아이콘을 PDF나 DOC 같은 문서 아이콘으로 바꿔서 만드는 경우도 있기 때문에 결국은 확장자를 확인해 보셔야겠죠.

 

또한 PC에 안티 바이러스나 EDR과 같은 보안 솔루션이 설치되어 있다면 행위 분석을 하는 엔진에 의해, 모르고 실행시켰더라도 어느 정도 방어가 될 수 있습니다. 물론 보안 솔루션만으로 100% 안전하다고 할 순 없으니 첨부 파일은 잘 확인하셔야 합니다.

 

 

"언제나 미소짓는 지원자입니다"... 이력서 파일 열었더니 "몸값 내놔" - 머니투데이

이력서 메일에 랜섬웨어(Ransomware)와 정보탈취 악성코드를 심어 유포시키는 현상이 확인돼 이용자들의 주의가 요구된다.이스트시큐리티에 따르면 최근 &quo...

news.mt.co.kr

 

어느 정도 규모가 있는 기업에서는 메일 서버를 구축할 때, 메일 보안 솔루션을 사용하기 때문에 저렇게 악성코드로 위장한 메일이 쉽게 차단된다고 생각하실 수 있는데요. 일반적으로 메일 보안 솔루션도 이번 사례와 같이 비밀번호가 걸린 압축 파일로 되어 있다면 내부 파일을 확인할 수 없기 때문에 차단이 불가능하다고 보셔야 합니다.

 

그렇기 때문에 보안 솔루션이 잘 구축되어 있다 하더라도 너무 솔루션만 믿지 마시고, 외부에서 보낸 메일을 확인할 때는 반드시 이상한 점이 없는지 한번 더 확인하셨으면 합니다. 그럼 이번 글은 여기서 줄이도록 하죠. 읽어주셔서 감사합니다.

반응형

댓글