국내 구인구직 사이트와 비슷한 도메인을 통해 입사지원서를 위장한 악성파일이 유포되고 있어 주의가 요구된다.
16일 이스트시큐리티에 따르면, 이번 공격은 입사지원서 이메일처럼 꾸민 피싱 메일을 통해 진행됐다.
메일에는 실제 구인구직 사이트인 ‘잡인포'(jobinfo) 도메인을 모방한 ‘job1-info’ 도메인이 들어갔다.
사용자가 해당 도메인을 누르면 악성코드가 유포된다. 공격자 서버에서【오**-hwp(입사지원서).exe】라는 파일명의 악성 실행파일(.EXE)이 포함된 캐비닛 파일(.CAB)이 내려온다.
윈도우의 폴더 보기 옵션은 기본적으로 해제됐다. 사용자가 따로 설정하지 않는 이상 개별 파일의 파일 확장자가 보이지 않는다. 공격자는 이런 점을 악용해 파일명에 ‘hwp’라는 단어를 추가했고, 한글 문서파일처럼 보이게 해 실행을 유도했다.
만약 사용자가 내부에 포함된 실행파일을 실행시키면, 백그라운드에서는 ‘netscore.exe’ 프로그램이 동작한다. 또 사용자 화면에는 실제 이력서처럼 위장한 파일을 보여줘 사용자가 공격임을 인지하지 못하도록 한다.
‘netscore.exe’ 파일은 감염 PC정보를 수집해 특정 서버로 전송한다. 공격자의 명령에 따라 음성녹음, 폴더 및 파일정보수집 등 다양한 추가 악성 행위를 할 수 있는 명령 제어 기능도 다수 포함하고 있다.
이스트시큐리티 측은 “공격자들은 입사지원서라는 동일한 주제를 가지고, 다양한 형태의 공격 방식을 연구하고 있다”며 “이메일 내 첨부파일이나 링크 클릭 시 반드시 주의해야 한다”고 말했다.
