11.13
뉴스홈 > 보안/해킹
하우리, 이력서로 유포되는 시그마 랜섬웨어 주의 당부암호화된 이력서 파일과 암호키 함께 전달, 전세계 유포 중

   
▲ ‘시그마’ 랜섬웨어의 랜섬노트

[아이티데일리] 하우리(대표 김희천)는 최근 전세계를 대상으로 이력서 파일로 위장해 유포 중인 ‘시그마(Sigma)’ 랜섬웨어가 발견되고 있어, 특히 기업 인사 담당자들의 각별한 주의가 필요하다고 26일 밝혔다.

하우리 측 설명에 따르면, ‘시그마’ 랜섬웨어는 다양한 채용공고에 대한 입사 지원 형태로 랜섬웨어가 포함된 이력서 워드 문서 파일을 첨부해 이메일을 통해 발송된다. 이메일의 지원 문구 및 지원자의 이름은 각기 다른 다양한 유형으로 발송된다. 현재 해당 랜섬웨어 이메일은 전세계를 대상으로 광범위하게 유포되고 있다.

특히 이력서 워드 문서는 수신자가 파일에 대한 신뢰감을 가질 수 있도록 암호가 걸려 있으며, 이메일 본문에 암호를 명시해 암호를 입력한 사용자만 문서를 열람할 수 있도록 했다. 암호가 걸려있는 문서이기 때문에 문서를 사전에 열람해 악성코드를 탐지하는 행위기반 자동 분석 시스템 등을 우회할 수 있다.

이후 이력서 문서가 열람되면 매크로가 동작해 특정 서버로부터 ‘시그마’ 랜섬웨어를 다운로드한다. 랜섬웨어는 PC 내의 주요 파일들을 암호화하고 ‘ReadMe.html’이라는 랜섬웨어 감염 노트를 생성해 피해자가 몸값을 지불하도록 안내한다. 암호화 과정 중에 파일의 확장자는 변경하지 않기 때문에 파일이 암호화됐음을 인지하기 어렵다. 공격자는 복구비용으로 약 400달러 상당의 비트코인을 요구한다.

최상명 하우리 CERT 실장은 “이력서를 활용한 랜섬웨어 및 지능형 지속 위협(APT) 공격이 지속적으로 발견되고 있다”며, “기업의 인사 담당자들은 이력서 열람 시 별도의 격리된 공간인 가상환경 등에서 열람하길 권장한다”고 말했다.

한편, 하우리 ‘바이로봇’에서는 ‘시그마’ 랜섬웨어를 ‘Trojan.Win32.Ransom’의 진단명으로 탐지 및 치료할 수 있다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오