국내 유명 은행을 사칭한 이메일을 통해 랜섬웨어가 유포되고 있는 것으로 확인됐다. 연말을 앞두고 카드 사용이나 온라인 송금이 많아지는 시기인 만큼 은행을 사칭한 피싱 메일에 속지 않도록 사용자의 각별한 주의가 요구된다.

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 지난 12월 20일, 국내 유명 은행을 사칭하는 이메일을 통해 다운로더 악성코드를 유포되는 것을 확인했다. [그림 1]은 유명 은행의 보안메일로 위장한 피싱 메일로, ‘보안암호첨부’라는 그럴듯한 파일명의 HTML 파일이 첨부되어 있다.

[그림 1] 유명 은행의 보안 메일로 위장한 피싱 메일

공격자는 [그림 1]의 메일 하단에 이미지가 삽입되어야 하는 부분([그림 1]의 빨간색 표시된 엑스 박스 부분)에 이미지(img) 태그가 아닌 메일 수신자의 IP 주소를 추적하기 위한 태그가 삽입되어 있다.

위와 같은 메일을 수신한 사용자가 첨부된 HTML 파일을 실행하면 패스워드 입력 창이 나타나며, 사용자의 생년월일 6자리를 입력하도록 유도한다. 사용자가 생년월일 6자리를 패스워드로 입력 후 확인(Confirm) 버튼을 클릭하면 [그림 2]와 같은 엑셀 파일이 다운로드된다.

[그림 2] 피싱 페이지에 비밀번호 입력 시 다운로드되는 엑셀 파일

이렇게 다운로드된 엑셀 파일은 사용자에게 매크로 사용을 허용하도록 유도하여 내부에 포함된 악성 매크로를 실행한다. 악성 매크로는 압축 파일과 또 다른 엑셀 파일을 추가로 다운로드하고 스크립트를 실행해 DLL 파일을 다운로드한다. 이렇게 로드된 DLL 파일은 C&C 서버와의 통신을 통해 감염 PC의 정보를 전송한 후 랜섬웨어를 다운로드한다.

다운로드된 랜섬웨어는 특정 경로에 자신을 자가복제하고 자동 실행을 위해 레지스트리키를 등록한 후 감염 PC내 주요 파일의 암호화를 진행한다. 파일을 암호화하고 나면 확장자를 크립토라커(.cryptolocker)로 변경하고 [그림 3]과 같은 랜섬 노트를 화면에 노출한다.

[그림 3] 랜섬 노트

안랩의 분석 결과, 해당 랜섬웨어는 라피드(RAPID) 랜섬웨어와 동일한 값을 사용하고 동작 방식 또한 유사한 것으로 확인됐다. 현재 V3에서는 해당 랜섬웨어와 관련된 파일들을 다음과 같은 진단명으로 탐지한다. 또한 랜섬 행위가 나타나면 행위를 차단하고 [그림 4]와 같은 알림창을 표시한다.

<V3 제품군 진단명>

- HTML/Downloader (2019.12.20.03)

- VBA/Loader.S4 (2019.12.20.03)

- Trojan/Win32.Reflect.C3655632 (2019.12.20.03)

- Trojan/Win64.Reflect.R304634 (2019.12.20.03)

- Trojan/Win32.RapidRansom.C3655633 (2019.12.20.03)

- Malware/MDP.Behavior.M2117

[그림 4] V3 제품의 행위 기반 탐지 알림창

여러모로 다소 들 뜨기 쉬운 연말연시를 틈타 명세서, 영수증, 배송 안내 등으로 위장한 악성 이메일이 활개를 칠 것으로 예상된다. 악성 이메일 공격에 의한 피해를 예방하기 위해서는 발신자가 불분명한 메일은 열어보지 않고 삭제하는 것이 바람직하며, 특히 첨부 파일은 실행하지 않도록 해야 한다. 또 유명 기업의 이름이나 낯익은 이름의 발신자인 경우에도 이메일 주소 전체를 꼼꼼히 살피는 습관이 필요하다. 이메일의 첨부 파일을 실행할 때도 최신 버전의 V3로 먼저 검사하는 것이 좋다. 평소 V3의 실시간 감시 기능을 활성화해두는 것도 잊지 말아야겠다.

한편, 은행을 사칭한 이메일을 통해 유포된 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.

▶ ASEC 블로그 바로가기