코로나19 바이러스 이슈를 노린 Hoax가 또다시 유포되고 있다. 주의가 필요하다. 해당 Hoax는 코로나19 랜섬웨어처럼 위장하고 있으나 암호화 행위를 하지 않음이 확인됐다.

이 Hoax는 지난 3월 11일에 생성된 것으로 추정되며, COVID-19라는 파일명을 가지고 있다.

실제로 사용자들이 해당 Hoax파일을 실행하게 되면, 실제 이 Hoax는 경고창을 띄우고 메시지를 보여준다.

영어로 작성되어 있는 해당 문구는 'Just because you're home doesn't mean you're safe'라는 내용으로 최근 코로나19때문에 재택근무 형태로 일하는 사용자들의 상황을 공격자가 잘 알고 있다는 것을 보여준다.

이후 추가적인 경고창 메시지가 보이며, 일부 경고창 메시지에서는 랜섬(Ransom)이라는 단어를 Lansom으로 표기한 오타가 보이기도 한다.

이 경고창 메시지가 끝나면 실행되는 프로그램 화면 좌상단에 ‘코로나 19 RANSOMWARE(랜섬웨어)’라는 한글로 작성된 문구가 포함된 타이틀이 보여지며 그 외 다른 내용은 전혀 확인이 되지 않는다.

파일 암호화가 실제로 진행되지 않는 Hoax지만, 마치 랜섬웨어가 실행된 후 띄우는 랜섬노트와 같이 사용자 대상으로 복호화 비용을 요구한다. 복호화 비용으로 한국 원화(KRW) 1만원 상당의 컬처랜드 문화상품권 바코드를 요구하고 있다.

컬처랜드 문화상품권 바코드 요구는 기존 보이스 피싱 조직들이 피해자들에게 실제 현금 이체 대신 많이 요구했던 방식이다. 공격자가 컬처랜드 문화상품권 바코드를 현금 대신 요구하는 것은 문화상품권 등의 소액의 피해에 대해서는 본격적인 수사가 이뤄지지 않을 가능성이 높고, 공격자가 컬처랜드 문화상품권을 구매하는 과정에 일절 관여하지 않기 때문에 추적이 쉽지 않다는 부분을 악용한 것이다.

이스트시큐리티 ESRC(시큐리티대응센터) 측은 “코로나19 이슈를 노리고 사용자들을 현혹하는 Hoax에 대해서도 주의를 요하는 시기다. 이번에 확인된 악성코드도 아무런 파일 암호화 행위를 하지 않는 랜섬웨어 사칭 Hoax지만 혹시나 노트의 메시지 내용을 확인하고 컬처랜드 문화상품권을 구매해 공격자에게 전달하지 않도록 주의해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★