유창한 한국어 이메일로 ‘비너스락커(Venus Locker)’ 랜섬웨어를 유포했던 제작자가 노선을 전향해 악성 채굴 파일을 유포 중인 것으로 알려졌다.

연말정산, 인사발령, 구인구직 등의 내용으로 위장한 피싱메일로 다수의 공공기관과 금전 지불 능력이 있는 소상공인을 겨냥해 랜섬웨어를 배포했던 공격자는 여전히 능숙한 한국어로 그럴듯한 내용의 메일을 보내 가상화폐 가운데 하나인 모네로(Monero)를 채굴하는 악성 파일을 내려받도록 유도한다.

이를 발견한 이스트시큐리티에 따르면, 공격자는 지난 2017년 11월부터 본격적인 채굴 파일 유포에 나섰으며, 비너스락커 유포 때와 마찬가지로 구글 지메일 계정을 생성해 악성 채굴 파일이 담긴 이메일을 유포하고 있는 것으로 전해졌다.

이력서를 위장한 이번 공격 메일에는 이미지와 문서를 위장한 바로가기(.LNK) 파일과 함께 숨김 속성의 실행형 악성파일(.EXE)가 들어 있으며, 어느 파일을 열더라도 실행파일이 동작하도록 만들어졌다.

일단 EXE 파일이 실행되면 분석 방해 목적의 Anti-VM 기능이 작동한다. 실행 중인 운영체제 환경이 SandBoxie, VMware, VirtualBox 등인지 확인한 다음 조건이 맞을 경우 프로세스 종료를 진행한다.

또한, 분석을 방해하기 위해 윈도우의 일부 기능을 제한하는 ‘DisableCMD’, ‘DisableRegistryTools’, ‘DisableTaskMgr’, ‘UAC’ 등의 레지스트리 설정을 수행하고 은밀하게 본격적인 채굴을 진행한다.

특정 의료시설 웹 사이트에 공개된 간호사 채용문의 메일로 공격을 수행하는 것이 발견돼 알려진 이번 악성 채굴 프로그램은, 향후 이전 비너스락커 때처럼 무분별한 공격으로 변질될 가능성이 높아 각별한 주의가 요구된다.

특히 이번 공격자는 한국식 이름의 계정을 쓰고 이모티콘 등의 활용이 매우 자연스러워 속기 쉬우므로, 아는 사람이 보낸 메일이라도 재차 확인하고 파일 다운로드를 주의하는 것이 바람직하다.

저작권자 © 아이러브PC방 무단전재 및 재배포 금지