'페덱스 물품 전달 받으세요'…국제 배송업체 사칭 이메일로 랜섬웨어 유포
'페덱스 물품 전달 받으세요'…국제 배송업체 사칭 이메일로 랜섬웨어 유포
  • 한상현 기자
  • 승인 2017.05.26 16:12
  • 댓글 0
이 기사를 공유합니다

▲ 해외 배송 관련 안내로 위장한 랜섬웨어 흐름도 (사진제공=이스트소프트)

[화이트페이퍼=한상현 기자] 국제 특송 업체 페덱스(FedEx) 배송 안내로 위장해 랜섬웨어 감염을 유도하는 이메일이 국내에 다량 유포돼 이용자들의 각별할 주의가 필요하다.

이스트시큐리티는 '페덱스 서포트 팀(FedEx Support Team)'을 사칭한 이메일이 정부기관, 민간기업 등을 대상으로 특정 계정(leemoonjung1211@gmail.com)에서 발송되면서 랜섬웨어 공격이 확산되고 있다고 26일 밝혔다.

이 랜섬웨어는 이달 초 확산됐던 '오토크립터' 랜섬웨어의 변종이다. 오토크립터 랜섬웨어는 기존 랜섬웨어보다 10분의 1 수준에 해당하는 암호 해독 비용을 요구하는 '박리다매' 수법이 특징으로 알려져 있다.

이번에 발견된 변종 또한 정교하게 작성된 한글 이메일을 활용하는 지난해 말부터 꾸준히 발생한 비너스락커 랜섬웨어 공격 방식과 상당 부분 일치한다는 게 회사 측 설명이다.

일부 코드의 경우 100% 동일하게 제작돼 있어 비너스락커 공격자가 다양한 랜섬웨어 변종을 제작해 유포하고 있는 것으로 판단된다.

이메일 본문에는 '고객님의 물품을 부득이하게 전달해드릴 수 없으니, 첨부된 영수증과 배송장을 출력하여 가까운 FedEx 사무실에 방문하여 물품을 전달받으라'라는 일반적인 배송 안내가 적혀 있다.

첨부 파일 내부에는 '배송장.jpg', '영수증.jpg' 등 이미지 파일로 위장된 바로가기(*.lnk) 파일과 '페덱스지점안내.doc' 문서 파일로 위장된 랜섬웨어 기능의 실행 파일(.exe)이 포함돼 있다.

수신자가 파일을 실행할 경우 바로가기 내부 명령어에 의해 '페덱스지점안내.doc' 파일이 자동으로 실행되면서 랜섬웨어에 감염된다. 암호화 과정이 끝나면 바탕화면에 우리말로 암호 해독(복호화)을 위해 0.1 비트코인을 요구하는 안내가 나타난다.

최근 비트코인 시세는 1비트코인당 2700달러(한화 302만 원) 이상으로 치솟는 등 급등락하는 것으로 알려져 있다.

특히 이 랜섬웨어는 수사기관의 추적을 피하기 위해 토르(Tor) 웹 브라우저로만 접속할 수 있는 다크 웹(Dark Web) 주소를 사용했으며, 랜섬웨어 감염 안내문에는 '술 한잔 마시는 금액으로 당신의 중요한 파일들을 복구하세요'라는 유창한 한국어 표현이 쓰였다.

김준섭 이스트시큐리티 부사장은 "사회적 이슈나 사용자 심리를 활용한 오토크립터 랜섬웨어가 지속적으로 유포되고 있다"며 "갈수록 지능적으로 발전하는 랜섬웨어 공격을 대비하기 위해선 이메일 첨부 파일 실행에 각별한 주의를 기울이고, 백신 프로그램을 통해 주기적인 검사를 하는 습관을 가져야 한다"고 당부했다.

화이트페이퍼, WHITEPAPER


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.