2018년 5월 초 우리나라의 인재채용 중개 사이트인 사람인(www.saramin.co.kr)을 사칭해 

랜섬웨어 파일을 첨부파일로 한 이력서가 사람인의 기업회원들에게 무작위로 살포되었습니다.

이때 살포된 랜섬웨어는 CRAB 2.0 랜섬웨어로, 모든 파일의 확장자를 CRAB로 변경합니다.

이 랜섬웨어는 현재 해독 방법이 없어 큰 주의가 필요한 랜섬웨어입니다.


저희 사무실 컴퓨터 한대도 당해서 복구에 애를 먹었죠. 

결국 복구하지 못했습니다.


당시 사람인측에서 기업회원에게 발송한 메일


이 메일의 치명적 문제점은 첨부파일의 확장자가 알집 확장자인 .egg로 되어있었기 때문입니다.

표준압축포맷인 zip의 경우 메일 서버에서 바이러스를 자체적으로 검사하는 경우가 많아 첨부파일에 바이러스가 오는 일은 획기적으로 줄었습니다.

그런데 알집의 포맷은 바이러스 검사가 안되는 경우가 많습니다.

특히 Gmail은 비표준압축인 알집으 포맷을 검사하지 못하죠.


그런데 오늘 5월 29일 또다시 사람인으로 위장한 메일이 발송되었습니다.


지난번 메일 살포와 차이점은 이력서를 첨부하였다며 외부 링크로 끌어가는 것입니다.

위의 링크를 검사 해 보면 블로그 서비스를 제공하는 외국 회사의 블로그에 랜섬웨어 또는 해킹파일을 첨부파일로 해 놓고 외부로 끌어오는 것 같습니다.

내용은 다음과 같습니다.

=========================

안녕하세요,
최근에 www.saramin.co.kr에서 `/초등학교 대상 컨텐츠 기획-개발` 공지를 보았는데 그 포지션에 지원하고 싶습니다. 또한 다른 기회가 있다면 도전하고 싶습니다.
이력서를 첨부하였습니다.
감사합니다.

지훈
전화: +820960269549
이메일: ji_hun@blog.aleksandrerokhin.com

=========================

위 첨부 이미지와 첨부한 내용의 이메일 뒤쪽 링크가 다른것을 발견할 수 있습니다.


첨부파일의 내용은 파악하지 않았지만 첨부파일명이 "doc.php"파일 인 것으로 보아 자동 실행 스크립트로보입니다.

사용자들의 주의를 바랍니다.




반응형

↑↑↑ 한번 눌러주시는 하트는 큰 힘이 됩니다! ^^ ↑↑↑

궁금하신점은 댓글 남겨주세요~!

  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기