[주의] 공정거래위원회 사칭한 악성 메일로 소디노키비 슬롯 사이트 유포 중!
최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 슬롯 사이트가 유포되고 있어 이용자들의 주의를 당부드립니다.
이번에 발견된 공정거래위원회 사칭 슬롯 사이트메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.
[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 슬롯 사이트 메일
실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 슬롯 사이트 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다.
[그림 2] PDF 파일을 위장한 슬롯 사이트 실행 파일
File Name | MD5 |
부당 전자상거래 위반행위 안내.pdf(긴공백).exe | 7910905B2D4A49D387F24A94FA05DCCE |
전산 및 비전산자료 보존 요청서.pdf(긴공백).exe | 7910905B2D4A49D387F24A94FA05DCCE |
만일 이용자가 해당 파일을 "부당 전자상거래 위반행위 안내" 및 "전산 및 비전산자료 보존 요청서" PDF 파일로 착각해 실행할 경우, 소디노키비 슬롯 사이트에 감염됩니다.
[그림 3] 소디노키비 슬롯 사이트에 감염된 PC 화면
소디노키비 슬롯 사이트는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성합니다.
슬롯 사이트노트에는 소디노키비 슬롯 사이트노트 특징인 "Welcome. Again"이라는 문구로 시작되는 것을 확인하실 수 있습니다.
[그림 4] 소디노키비 슬롯 사이트노트 화면
따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 슬롯 사이트 여부를 확인해 주시기 바랍니다.
금일 발견된 슬롯 사이트 샘플과 관련된 IoC(침해지표)는 '' 서비스에서 확인하실 수 있습니다.
알약에서는 해당 슬롯 사이트에 대해'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.