□ 개요

최근 피고 소환장을 사칭한 메일 내용으로 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

□ 내용
해당 메일에서는 고소를 당했다는 메시지와 함께 소환장을 다운로드 할 수 있는 링크가 함께 첨부되어 있다. 해당 링크에 제공된 정보를 통해 청문회 날짜 및 시간을 보낸다는 내용으로 메일을 받은 사람이 링크를 실행하도록 유도하고 있다.

[그림 1] 피고 소환장에 대한 내용이 담겨있는 메일

해당 링크 실행 시 악성코드를 포함하고 있는 압축 파일이 다운로드 된다. 동일한 메일 내용으로 악성코드 다운로드 링크 주소만 변경된 채 메일이 유포되고 있으며 악성코드 다운로드 링크의 형식은 다음과 같다.
- hxxp://(도메인)/wp-content/uploads/(숫자4)/(숫자2)/(랜덤6).php?name=(파일명) 

[그림 2] 해당 링크로 접속 시 다운로드 되는 파일 

유포되는 링크 주소만 다를 뿐 다운로드 되는 파일은 모두 동일하며 압축을 해제하면 [그림 3]과 같은 자바스크립트 악성코드 파일이 들어있다.

[그림 3] 압축해제 시 들어있는 자바스크립트 악성코드

해당 악성코드는 실행 시 특정 서버와 통신하여 악성코드를 다운받아 온다.

[그림 4] 악성코드를 다운받아 오는 패킷

다운로드 된 악성코드는 아래의 경로에 저장된 후 바로 실행되며 엑셀 아이콘을 이용하여 정상파일로 위장하고 있다.
- %TEMP%\[랜덤한 숫자 8자리].scr

[그림 5] 엑셀로 위장한 악성코드

실행되는 악성코드는 GandCrab(v4) 랜섬웨어이며 PC에 있는 파일의 확장자를 KRAB로 변경한다. 파일의 암호화가 끝난 폴더에는 KRAB-DECRYPT.txt 라는 이름을 가진 랜섬노트가 생성되며 해당 랜섬노트의 내용은 다음과 같다.  

[그림 6] GandCrab 랜섬웨어 감염노트

금일 발견된 악성코드는 ‘고소장’이라는 다소 위협적인 내용의 메일을 통해 유포되고 있다. 전반적으로 ‘링크를 확인하지 않는 경우 불이익을 당할 수 있다’는 내용의 해당 스팸메일은 일반 사용자의 입장에서 충분히 불안감을 느끼게 하고 링크를 확인할 수밖에 없도록 클릭을 유도하고 있다.  

또한 같은 내용의 소환장 메일이 7월 초에는 악성코드가 첨부파일 형태로 메일에 포함되어 배포된 반면 8월에 배포된 메일에는 첨부파일 대신 악성코드 다운로드 링크만 추가되었다. 첨부파일의 경우 보안 솔루션에 탐지되어 제대로 다운로드 되지 못하는 경우가 많기 때문에 첨부파일 대신에 다운로드 링크를 포함한 것으로 예상된다. 이처럼 더 많은 사용자들을 감염시키기 위해 스팸메일에 악성코드를 포함하는 방법 또한 발전하고 있으므로 국내 사용자들의 각별한 주의가 요구된다.  

[그림 7] 악성코드가 포함된 메일(좌)과 링크가 포함된 메일[우]

□ 바이로봇 업데이트 내역
JS.S.Downloader 

Trojan.Win32.GandCrab