보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

멀웨어 퍼트리는 공격자들, 회사의 공식 연락 채널 악용해

  |  입력 : 2021-04-13 18:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기업에 연락하려면 보통 웹사이트를 찾아 들어가 연락처 정보를 찾는다. 어떤 곳은 전화번호 대신 따로 양식을 주면서 문의사항을 이메일 형태로 남겨달라고 한다. 최근 어떤 공격자들의 눈이 이 소통 채널로 돌아갔다. 거기에 구글 페이지를 끼얹어 신빙성을 더했다.

[보안뉴스 문가용 기자] 웹사이트의 연락처 양식과 구글 URL들이 최근 아이스드아이디(IcedID)라는 뱅킹 트로이목마를 퍼트리기 위한 공격 캠페인에 활용되고 있다고 한다. 마이크로소프트가 이러한 공격 행위들에 대해 조사해 경고했다.

[이미지 = utoimage]


여기서 ‘연락처 양식’이란 웹사이트들에 마련되어 있는 ‘contact us’ 양식을 말한다. 사용자들이 사이트 관리자에게 연락을 취하고 싶을 때 이용하는 기능으로 공격자들은 이를 통해 협박 메시지를 보낸다고 한다. “귀사가 저작권이 걸려 있는 사진이나 그림을 도용했으며, 이에 대한 법적 조치를 취할 예정”이라는 내용이다.

그러면서 “증거 자료”라는 링크를 하나 걸어둔다. 실제로 클릭을 할 경우 구글 페이지로 안내되며, 이 페이지로부터 아이스드아이디(IcedID) 혹은 복봇(BokBot)이 다운로드 된다. 아이스드아이디(복봇)는 정보 탈취형 멀웨어이자 로더이다.

특이한 건 공격자들이 사용하는 가짜 이름이 Melanie나 Meleena 등 ‘멜(mel)’로 시작한다는 것이다. 또한 가짜 이메일 주소도 m으로 시작한다. MS의 연구원들이 발견한 주소는 mphotographer550@yahoo.com이나 megallery736@aol.com 따위였다. 특별한 이유는 아직 밝혀지지 않고 있다.

악성 링크와 연결된 집 파일을 압축해제 할 경우 .JS 파일이 나타난다. W스크립트(WScript)를 통해 실행되며, 셸 객체를 하나 생성한다. 이 셸 객체는 파워셸을 실행하며, 이를 통해 아이스드아이디 페이로드가 .DAT 파일 형태로 다운로드 된다. 이 파일에는 DLL 파일 형태로 만들어진 코발트 스트라이크(Cobalt Strike) 비컨도 포함되어 있는데, 공격자들은 이를 통해 피해자의 기계를 원격에서 제어할 수 있게 된다.

공격자들은 정보 탈취를 위해 다양한 명령어들을 실행시키면서 IP 주소, 시스템 정보 등을 수집한다. 동시에 SQ라이트(SQLite)를 드롭시켜 은행 및 금융기관 관련 크리덴셜을 브라우저 데이터베이스로부터 훔쳐내기도 한다.

문제의 멀웨어 아이스드아이디의 경우 C&C 서버와 연결을 성립시킨 후 모듈들을 다운로드 받는다. 뱅킹 크리덴셜을 확보해 빼돌리는 기본 모듈은 물론 각종 정보를 빼돌리기 위한 모듈들이 여기에 포함된다. 또한 작업 스케줄러를 악용해 공격 지속성도 확보한다.

공격자들은 악성 링크로 연결되는 sites.google.com 페이지가 폐쇄되었을 경우를 예상해 또 다른 공격 통로를 확보해 두기도 했다. 구글 사용자 콘텐츠(Google User Content) 페이지로, 여기에도 악성 집 파일이 호스팅 되어 있었다.

이렇게 사이트 관리자가 직접 마련한 'contact us‘ 양식을 통해 악성 메일을 보낼 경우 이메일 보안 장치들에 탐지되지 않을 가능성이 높다. 또한 의심하기도 쉽지 않다. 왜냐하면 공식 연락용 메일 솔루션이기 때문이며, 이를 통한 공격 사례가 많지 않기 때문이다. 또한 정상적인 고객들도 평소 해당 양식으로 회사에 연락을 취하는 경우도 빈번하기 때문에 경계심의 벽이 높지 않게 형성된다. 여기에 구글 페이지까지 활용되니 의심의 가능성이 더욱 낮아진다.

3줄 요약
1. 웹사이트 관리자들이 마련한 ‘contact us’를 통해 악성 메일 보내는 공격자들.
2. 여기에 악성 링크를 걸어 구글 페이지로 연결되게 함.
3. 이 페이지로부터 집 파일이 다운로드 되는데, 여기에 아이스드아이디라는 뱅킹 트로이목마가 포함되어 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북