기업을 위한 IT 전문 파트너
  • 새소식
안랩, 피싱 공격자의 최신 수법은 가짜 페이지 연결!
  • 제조사
  • 게시일 : 2023-03-09
  • 조회수 : 234
  • SNS공유 페이스북 트위터
​안랩 ASEC 분석팀이 2023년 2월 19일부터 2월 25일까지 발생한 피싱(Phishing) 메일 공격을 모니터링했다. 피싱은 특정 기관이나 기업, 개인 등을 사칭한 공격자가 이메일을 통해 악성코드를 유포하고, 사용자의 계정 정보를 유출하기 위한 속임수라고 할 수 있다. 해당 기간 동안 확인된 피싱 공격 사례와 이를 유형별로 분류한 통계 정보, 그리고 주의해야 할 키워드도 함께 살펴보자. 참고로, 이번 글에서는 첨부파일을 포함한 이메일만 피싱 메일로 분류했다.





모니터링 결과, 가짜 페이지(FakePage, 68%)로 연결되는 메일이 가장 높은 비중을 차지했다. 가짜 페이지는 공격자가 로그인 및 광고성 페이지의 화면 구성과 로고, 폰트를 그대로 모방한 것으로, 사용자의 로그인을 유도한다. 이때 입력된 계정 정보는 공격자 C2 서버로 전송된다.

인포스틸러(InfoStealer) 악성코드를 포함한 피싱 메일이 26%로 그 뒤를 이었다. 정보 탈취형 악성코드로도 불리는 인포스틸러는 에이전트테슬라(AgentTesla), 폼북(FormBook) 등을 포함한다. 이들은 웹 브라우저나 메일, 파일 전송 프로토콜(File Transfer Protocol, FTP) 클라이언트 등에 저장된 사용자 정보를 유출한다.

3번째로 가장 많이 발견된 피싱 이메일은 스모크로더(SmokeLoader), 구로더(GuLoader) 등 다운로더(Downloader) 악성코드를 유포한 것으로 나타났다. 이 외에도, 트로이목마(Trojan), 취약점(Exploit), 웜(Worm) 등이 각각 9%, 2%, 1%를 차지했다.

 



[그림 1] 2023년 2월 19일~2023년 2월 25일 발생한 피싱 공격의 유형별 통계 정보


​그렇다면 공격자는 사용자를 속이기 위해 어떤 확장자를 사용했을까? 이번에는 ZIP, R00, RAR, R01, R17, GZ, DAA, XZ, Z, ACE, LZH 등 11가지 유형의 압축 파일 확장자가 사용됐다. 특히 인포스틸러 및 다운로더 악성코드는 IMG 디스크 이미지 파일, DOCX, PDF 문서 파일 등으로 위장해 메일 본문에 첨부됐다. 가짜 페이지의 경우, 웹 브라우저로 실행돼야 하는 HTML, HTM, SHTML과 같은 웹 페이지 스크립트 문서로 유포됐다.


 


[그림 2] 피싱 메일 첨부파일 확장자 통계 정보



가짜 로그인 페이지, 인포스틸러, 다운로더 악성코드를 포함한 피싱 메일 제목과 첨부파일을 정리하면 다음과 같다.



 


[그림 3] 가짜 로그인 페이지로 연결되는 피싱 메일 제목과 첨부파일

 


[그림 4] 인포스틸러, 다운로더 악성코드를 포함한 피싱 메일 제목과 첨부파일



이번 피싱 사례와 관련해, 안랩 분석팀은 사용자가 주의해야 할 키워드로 ‘견적&발주서’를 선정했다. [그림 4]와 같이, 최근 유포된 피싱 메일의 제목은 ‘견적요청’ 단어를 포함하고 있으며, 본문에는 HTML 파일이 첨부돼 있다. 해당 파일은 엑셀로 위장한 가짜 페이지로, 사용자 정보를 공격자 서버로 전송한다.


 

 


[그림 5] 견적&발주서 키워드를 포함한 피싱 메일 예시
 


[그림 6] 엑셀 파일로 위장한 HTML 파일



​이처럼 피싱 메일을 이용한 공격은 사용자가 가짜 로그인 페이지에 접속하거나 악성코드를 실행하도록 송장, 세금 납부 등의 내용으로 위장한다. 특히 가짜 로그인 페이지는 정상 페이지와 유사하게 시간이 지날수록 점점 정교해지고 있다. 악성코드는 압축 파일 포맷으로 패키지돼 보안 제품의 탐지를 우회한다. 안랩은 사용자가 피싱 메일로 인한 피해를 최소화하기 위해 지켜야 할 보안 수칙을 다음과 같이 제시한다.


  -신원이 확인되지 않은 발신자가 보낸 이메일 본문의 링크와 첨부파일은 그 내용을 신뢰할 수 있기 전까지 실행하지 않는다.

?   -첨부파일을 클릭했을 때 연결된 페이지를 신뢰할 수 있기 전까지 로그인 계정 등 민감 정보는 입력하지 않는다.

?   -확장자가 익숙하지 않은 첨부파일은 웬만하면 실행하지 않는 것이 좋다.

?   -안티바이러스(Antivirus) 등 보안 제품을 이용한다.


[출처 : 안랩(((
www.ahnlab.com)]

인터파크 큐브릿지 IT영업부
자세히보기
  • Office 365
  • CCT
TOP