입사지원 메일로 위장한 악성코드 확산.."주의해야"

하우리 "'지원합니다.egg' 파일 첨부 메일 열지 말아야"

(서울=연합뉴스) 임화섭 기자 = 입사지원 서류로 위장한 악성코드가 최근 유포되고 있으니 사용자들은 이런 이메일을 열지 말고 삭제해야 한다고 보안전문기업 ㈜하우리가 30일 경고했다.

하우리에 따르면 이 악성코드는 유창한 한국어로 작성된 이메일 본문에 마치 입사지원 서류인 것처럼 가장된 악성 첨부파일이 달려 있다.

첨부파일은 '지원합니다.egg'라는 파일 형식으로 압축돼 있으며, '문의사항.lnk', '신분증사본.jpg.lnk' 바로가기 파일을 통해 악성코드가 실행된다.

이 악성코드는 무료 압축 유틸리티인 '반디집'(Bandizip)의 파일명과 아이콘으로 위장하고 있으며 숨김 속성을 가지고 있다.

악성코드는 사용자의 키보드 입력 데이터와 주요 정보 등을 수집하여 명령제어(C&C) 서버로 전송한다.

이와 유사한 '문의사항(김민지).doc.lnk', '사진캡쳐1.jpg.lnk' 등 변형된 바로가기 파일도 유포되고 있다.

하우리는 이번 입사지원서 위장 악성코드가 올해 상반기에 '사내내부지침사항', '과태료부과고지서' 등의 키워드를 이용해 퍼진 '비너스락커' 랜섬웨어와 유사한 방식으로 유포되고 있다고 분석했다.

입사지원서 위장 악성코드와 비너스락커는 ▲ 유창한 한국어로 작성된 메일 내용 ▲ EGG 압축파일 사용, ▲ 바로가기 파일 사용 ▲ 지메일(Gmail)"계정 사용 등 공통점과 디코딩·인젝션 코드의 유사성을 공유하고 있다.

특히 바로가기 파일에 포함된 특정 경로는 'C:\Users\l\Desktop\양진이\VenusLocker_korean.exe로 똑같았다. 다만 압축파일의 암호 유무와 악성코드의 숨김 속성 등 일부 차이가 있었다.

이 때문에 이 두 악성코드가 동일범의 소행이거나 모방 세력의 소행일 가능성이 있다는 지적도 나온다.

solatido@yna.co.kr

☞ "수해현장서도 하이힐은 포기못해"…멜라니아 '홍수패션'

☞ 농어촌민박 외지인 돈벌이에 악용…33%가 '불법펜션'

☞ '한 마리에 1억원' 日 비단잉어, 아시아 부유층에 인기

☞ '낙태 쌍둥이 한풀이' 굿에 수억원 챙긴 무속인 무죄

☞ 장애인 사격선수간 성폭력 사건…연맹은 '수수방관'

▶연합뉴스 앱 지금 바로 다운받기~

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>