Home > 전체기사
구글 리캡챠 페이지 똑같이 따라한 피싱 공격 발생 중
  |  입력 : 2019-02-25 16:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
거래 확인을 요청하는 이메일 보내...링크 클릭하면 악성 PHP 다운로드
PHP 파일, 화면에 리캡챠 페이지 띄우고 뒤로는 악성 파일 다운로드해


[보안뉴스 문가용 기자] 최근 구글 리캡챠(Google reCAPTCHA) 시스템을 흉내 내는 가짜 피싱 공격이 발견됐다. 주로 폴란드의 은행과 은행 고객들을 노리는 이메일 형태로 배포되는 이 공격은, 악성 PHP 파일로 연결되는 링크를 피해자들에게 전송해, 결국 뱅크봇(BankBot)이라는 멀웨어를 감염시키는 걸 목적으로 한다.

[이미지 = iclickart]


뱅크봇 멀웨어는 안드로이드 장비들에 설치되는 것으로 2016년에 처음 발견됐다. 원격에서 조작이 가능한 트로이목마의 일종으로 은행 관련 정보를 훔쳐내는 기능을 가지고 있다. 은행에서 제공하는 앱과 똑같이 생긴 외관을 가지고 있으며, 교묘한 푸시 알림 기능을 통해 다양한 악성 행위를 실시한다. 이번에 발견된 뱅크봇의 경우 전화기에 설치된 개인정보, 문자 메시지, 전화 통화 목록, 연락처 정보, 위치 정보 등을 훔쳐가는 기능을 가지고 있었다고 한다.

이 공격을 발견한 보안 업체 수쿠리(Sucuri)의 루크 리크(Luke Leak)는 “폴란드의 한 은행을 표적으로 삼아 악성 파일을 퍼트리고 있는 피싱 공격에 대한 조사를 시작했다”고 밝히며, “분석 결과 공격자들은 은행인 척 위장해 고객들을 속이되, 공포심을 자극해 피해자들을 속인 것으로 나타났다”고 설명했다.

사용자들에게 가는 이메일은 “최근 이러이러한 거래가 진행되었으니 확인을 부탁한다”는 식의 내용으로 구성되어 있었다. 고객 입장에서는 누군가 자신의 계정으로 사기 거래를 했을까봐 서두르게 되고, 이메일에 같이 첨부된 링크를 클릭하게 된다. 하지만 클릭할 경우 시스템으로 악성 PHP 파일이 다운로드 된다.

“일반적으로 보이는 피싱 공격과는 조금 다릅니다. 왜냐하면 일반 피싱 공격은 피싱 페이지 자체를 구축하는 PHP 메일러와 파일들로 구성되어 있기 때문입니다. 주로 로그인 페이지를 진짜와 똑같이 만들 때 PHP 메일러와 파일로 페이지를 구성해내죠. PHP 파일을 직접 다운로드 하는 방식은 그리 흔한 게 아닙니다.”

악성 PHP 파일이 시스템에 안착하면, 가짜 404 오류 페이지가 화면에 뜬다. 그 후 PHP 코드가 가짜 구글 리캡챠 페이지를 띄우는데, 이 때 HTML과 자바스크립트가 함께 사용된다. (리캡챠란 구글의 인증 방식 중 하나로, 주로 사람과 봇을 구분하는 데 사용된다.) “리캡챠 페이지는 구글의 그것과 거의 똑같습니다. 그래서 속기 쉽습니다.”

다만 진짜 리캡챠와 다른 것이 하나 있다. 바로 인증에 사용되는 이미지들이 항상 같다는 것이다. “또한 실제 리캡챠의 오디오 리플레이 기능이 지원되지도 않습니다.”

사용자가 리캡챠를 들여다보는 동안 이 악성 PHP 코드는 시스템을 점검해 어떤 악성 파일을 추가로 다운로드 받을지 결정한다. 안드로이드 시스템에서는 .apk 파일을 받고, 그렇지 않을 경우는 .zip 파일을 받는다. 어떤 유형이든 결국 ‘다운로더’의 일종이며, 실행되었을 경우 뱅크봇이 설치된다. 뱅크봇은 바이러스토탈에서 뱅커(Banker)나 아르테미스(Artemis)라는 이름으로도 등록되어 있다.

뱅크봇을 분석한 보안 업체 이셋(ESET)은 “2017년 초 뱅크봇이 덧입혀진 앱들이 구글 플레이에서 유통되고 있는 것을 발견했고, 분석한 결과 2016년 12월 지하 해커 포럼에서 공개된 소스코드로부터 만들어진 것임을 확인했다”고 밝힌 바 있다. 즉 뱅크봇을 구성하는 소스코드가 이미 사이버 공격자들 사이에서 널리 퍼진 것이며, 따라서 여기에 뿌리를 둔 멀웨어들이 앞으로도 계속 등장할 가능성이 높다는 것이다.

지난 한 해 동안 피싱 수법은 계속해서 영악해졌다. 악성 행위자들은 지속적으로 전략을 발전시켰으며, 속이기 위한 기술력을 높여왔다. 얼마 전에는 구글 번역(Google Translate) 페이지를 활용하거나, 커스텀 폰트를 활용한 피싱 공격이 발견되기도 했다.

3줄 요약
1. 폴란드 은행과 그 고객을 노리는 특수한 피싱 공격 발견됨.
2. 구글의 리캡챠 페이지를 띄워 피해자의 시선을 뺏은 뒤, 뒤로 멀웨어 추가 설치.
3. 최종 페이로드는 뱅크봇의 일종. 뱅크봇 소스코드가 해커들 사이에서 풀린 상태라, 앞으로도 응용 공격이 이어질 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향