비너스락커(VenusLocker)그룹, 이력서를 위장하여 Makop 위너 토토 유포중!

​

6일, 이력서를 위장한 피싱 메일을 통해 Makop위너 토토가 대량으로 유포되어 사용자들의 주의를 당부드립니다.

해당 공격은 지난해부터 저작권, 입사지원서 등의 키워드로 위너 토토를 포함한 피싱 메일을 유포중인 비너스락커(VenusLocker) 그룹의 소행으로 추정되며, ESRC에서는 지속적으로 해당 그룹이 유포하는 피싱 메일에 대해 포스팅 해 왔습니다.

▶비너스락커 그룹, 저작권 침해안내로 위너 토토한 피싱 공격 수행중(21년5월12일)
▶비너스락커 조직, Makop 위너 토토 유포 중!(20년10월5일)

피싱메일에는"이력서_210905(경력사항도같이기재하였습니다같이확인부탁드립니다)"라는파일명을가진exe파일이포함되어있습니다.

해당.exe파일은한글아이콘으로위너 토토해사용자로하여금한글파일인것처럼오인하여클릭을하도록유도합니다.

사용자가해당파일을실행하면Makop위너 토토가실행됩니다.

파일이실행되면Windows시점복원방지를위해명령프롬프트(CMD)를이용하여볼륨섀도를삭제하며,현재사용자가사용중인프로세스와관련파일들을암호화시키기위해실행중인프로세스들을확인후암호화행위를시작합니다.

암호화후파일확장자를[CD59D479].[harmagedon0707@airmail.cc].harmagedon으로변경하며'readme-warning.txt'제목의위너 토토노트를띄웁니다.

사용자들은출처가불분명한이메일에포함된파일을실행하지않도록각별한주의가필요합니다.또한중요한파일들은정기적으로외장매체(USB,외장HDD)등에백업해두는습관을가져야합니다.

현재 알약에서는 해당 위너 토토에 대해Trojan.Ransom.Makop로 탐지중에 있습니다.