“물품 도착했어요”…페덱스 사칭 랜섬웨어 주의보

글로벌 배송 업체 페덱스(FedEx) 배송팀을 사칭한 랜섬웨어의 일종 ‘오토크립터’가 국내에 다량 유포되고 있다. 이스트시큐리티는 5월26일 페덱스 해외 배송 안내 이메일로 위장한 오토크립터가 급속도로 확산되고 있어 주의가 필요하다고 발표했다.

▲오토크립터 랜섬웨어 감염 흐름도. (사진=이스트시큐리티)

이스트시큐리티가 발견한 이메일은 ‘leemoonjung1211@gmail.com’이라는 계정이다. ‘FedEx Support Team’을 사칭해 피해자들에게 발송됐다.

▲페덱스 배송 안내로 위장한 랜섬웨어 유포 이메일. (사진=이스트시큐리티)

해당 이메일의 본문에는 ‘고객님의 물품을 부득이하게 전달해드릴 수 없으니 첨부된 영수증과 배송장을 출력해 가까운 FedEx 사무실에 방문해 물품을 전달받으라’는 내용이 있어 마치 일반적인 배송 물품 안내처럼 위장됐다. 이 이메일은 수신자가 이메일에 첨부된 첨부파일을 실행하도록 위장한다.

이메일에 첨부된 압축파일 ‘HBDIN_386572.egg’ 내부에는 바로가기 파일로 위장한 ‘배송장.jpg’, ‘영수증.jpg’ 파일과 ‘페덱스지점안내.doc’이라는 문서 파일 확장자로 위장한 랜섬웨어 기능의 실행파일(.exe)로 구성돼 있다.

수신자가 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹돼 ‘배송장.jpg’ 파일이나 ‘영수증.jpg’ 파일을 실행하면 바로가기 내부 명령어가 작동해 ‘페덱스지점안내.doc’ 파일이 자동으로 실행된다. 이는 즉시 랜섬웨어 감염으로 이어진다. ‘페덱스지점안내.doc’ 파일을 가장 먼저 실행할 경우, 실제 정상적인 워드문서가 아니므로 정상적으로 감염되지는 않다. 하지만 바로가기 파일에 의해 ‘페덱스지점안내.doc’ 파일이 실행될 경우, 국내에서 사용하는 한글 문서(.hwp) 자료 뿐 아니라 각종 문서와 이미지, 동영상 파일 등 PC에 저장돼 있는 중요한 자료들이 암호화되는 피해를 입을 수 있다.

▲ 바탕화면에 생성된 오토크립터 랜섬노트 화면. (사진=이스트시큐리티)

랜섬웨어에 의한 암호화가 모두 완료되면 피해자의 바탕화면 등에 ‘THIS_YOU_MUST_READ.txt’라는 이름의 랜섬노트 파일이 생성된다. 이후 복호화 과정을 한국어로 안내하는 결제 요구 창이 뜬다. 요구 창에는 0.1 비트코인을 통한 결제를 요구하는 내용이 담겨 있다.

공격자는 수사기관의 추적을 피해기 위해 토르 웹브라우저로만 접속 가능한 다크웹 주소를 사용했다.

이스트시큐리티 시큐리티대응센터는 “이번에 발견된 오토크립터 랜섬웨어 역시 나름 정교하게 작성된 한글 이메일을 활용하는 등 작년 말부터 꾸준히 이어진 비너스락커 랜섬웨어의 공격 방식과 상당부분 일치한다”라며 “일부 코드의 경우 100% 동일하게 제작돼 있는 등 비너스락커 공격자가 다양한 랜섬웨어 변종을 제작해 유포하고 있는 것으로 보고 있다”라고 했다.

출처 : 블로터 http://www.bloter.net/archives/280790