세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
이력서 위장한 가상화폐 거래소 타깃 공격 기승
  |  입력 : 2017-12-04 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비트코인 거래소 출금알림 이메일 사칭한 피싱 사기와 스피어피싱 공격 주의

[보안뉴스 김경애 기자] 비트코인 등 가상(암호)화폐를 거래할 수 있는 특정 가상화폐 거래소 관계자를 대상으로 한 다양한 사이버범죄 시도가 꾸준히 발견되고 있어 주의가 요구된다.

▲이력서 위장한 악성파일[이미지=이스트시큐리티]


4일 이스트시큐리티 측은 “국내 비트코인 거래소 출금알림 이메일로 사칭한 피싱사기와 비트코인 관련 내용으로 진행 중인 스피어피싱 공격에 주의해야 한다”며 “마치 정상적인 채용관련 문의와 입사 지원을 사칭한 스피어피싱 공격이 추가로 발견되고 있어 관계자 분들의 각별한 주의”를 당부했다.

공격자는 한메일 서비스를 이용했으며, 수신자 역시 한메일을 쓰는 이용자다. 수신자는 가상화폐 관련 사이트와 SNS 등에서 활동하는 것이 다수 확인됐다.

공격자가 사용한 ‘alosha’ 계정은 그동안 여러 차례 한국의 가상화폐 관련 사용자를 대상으로 공격한 메일 계정으로 사용된 바 있다.

이메일 본문에는 일반적인 입사지원 문의 내용을 포함하고 있으며, 한글과컴퓨터(한컴)사의 문서파일인 HWP 파일이 포함돼 있다.

해당 HWP 문서파일을 열람하면 정상적인 화면이 보여진다. 그러나 이 HWP 파일에는 ‘BIN0002.ps’ 포스트 스크립트(Post Script) 코드가 바이너리 데이터에 포함돼 있으며, Zlib 형식으로 인코딩된 데이터를 디코딩하면 내부에 악의적인 포스트 스크립트가 들어있는 것으로 분석됐다.

악의적인 스크립트 코드가 정상적으로 실행되면 해외의 특정 명령제어서버(C&C) 3곳으로 통신을 시도한다. 만약 정상적으로 통신이 이뤄지면 감염된 이용자의 정보가 유출된다. 또한, 공격자의 명령에 따라 추가적인 악성 프로그램이 설치되어 원격제어 등의 공격이 진행될 수 있다.

이러한 표적 공격에 피해를 입지 않기 위해서는 문서작성 프로그램 등을 항시 최신으로 업데이트로 해야 하며, 입사지원서나 입사 문의 관련 메일의 경우도 각별한 주의가 필요하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)