하우리 "'지원합니다.egg' 파일 첨부 메일 열지 말아야"
(서울=연합뉴스) 임화섭 기자 = 입사지원 서류로 위장한 악성코드가 최근 유포되고 있으니 사용자들은 이런 이메일을 열지 말고 삭제해야 한다고 보안전문기업 ㈜하우리가 30일 경고했다.
하우리에 따르면 이 악성코드는 유창한 한국어로 작성된 이메일 본문에 마치 입사지원 서류인 것처럼 가장된 악성 첨부파일이 달려 있다.
첨부파일은 '지원합니다.egg'라는 파일 형식으로 압축돼 있으며, '문의사항.lnk', '신분증사본.jpg.lnk' 바로가기 파일을 통해 악성코드가 실행된다.
이 악성코드는 무료 압축 유틸리티인 '반디집'(Bandizip)의 파일명과 아이콘으로 위장하고 있으며 숨김 속성을 가지고 있다.
악성코드는 사용자의 키보드 입력 데이터와 주요 정보 등을 수집하여 명령제어(C&C) 서버로 전송한다.
이와 유사한 '문의사항(김민지).doc.lnk', '사진캡쳐1.jpg.lnk' 등 변형된 바로가기 파일도 유포되고 있다.
하우리는 이번 입사지원서 위장 악성코드가 올해 상반기에 '사내내부지침사항', '과태료부과고지서' 등의 키워드를 이용해 퍼진 '비너스락커' 랜섬웨어와 유사한 방식으로 유포되고 있다고 분석했다.
입사지원서 위장 악성코드와 비너스락커는 ▲ 유창한 한국어로 작성된 메일 내용 ▲ EGG 압축파일 사용, ▲ 바로가기 파일 사용 ▲ 지메일(Gmail)"계정 사용 등 공통점과 디코딩·인젝션 코드의 유사성을 공유하고 있다.
특히 바로가기 파일에 포함된 특정 경로는 'C:\Users\l\Desktop\양진이\VenusLocker_korean.exe로 똑같았다. 다만 압축파일의 암호 유무와 악성코드의 숨김 속성 등 일부 차이가 있었다.
이 때문에 이 두 악성코드가 동일범의 소행이거나 모방 세력의 소행일 가능성이 있다는 지적도 나온다.
solatido@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>