Home > 전체기사
구글 리캡챠 페이지 똑같이 따라한 피싱 공격 발생 중
  |  입력 : 2019-02-25 16:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
거래 확인을 요청하는 이메일 보내...링크 클릭하면 악성 PHP 다운로드
PHP 파일, 화면에 리캡챠 페이지 띄우고 뒤로는 악성 파일 다운로드해


[보안뉴스 문가용 기자] 최근 구글 리캡챠(Google reCAPTCHA) 시스템을 흉내 내는 가짜 피싱 공격이 발견됐다. 주로 폴란드의 은행과 은행 고객들을 노리는 이메일 형태로 배포되는 이 공격은, 악성 PHP 파일로 연결되는 링크를 피해자들에게 전송해, 결국 뱅크봇(BankBot)이라는 멀웨어를 감염시키는 걸 목적으로 한다.

[이미지 = iclickart]


뱅크봇 멀웨어는 안드로이드 장비들에 설치되는 것으로 2016년에 처음 발견됐다. 원격에서 조작이 가능한 트로이목마의 일종으로 은행 관련 정보를 훔쳐내는 기능을 가지고 있다. 은행에서 제공하는 앱과 똑같이 생긴 외관을 가지고 있으며, 교묘한 푸시 알림 기능을 통해 다양한 악성 행위를 실시한다. 이번에 발견된 뱅크봇의 경우 전화기에 설치된 개인정보, 문자 메시지, 전화 통화 목록, 연락처 정보, 위치 정보 등을 훔쳐가는 기능을 가지고 있었다고 한다.

이 공격을 발견한 보안 업체 수쿠리(Sucuri)의 루크 리크(Luke Leak)는 “폴란드의 한 은행을 표적으로 삼아 악성 파일을 퍼트리고 있는 피싱 공격에 대한 조사를 시작했다”고 밝히며, “분석 결과 공격자들은 은행인 척 위장해 고객들을 속이되, 공포심을 자극해 피해자들을 속인 것으로 나타났다”고 설명했다.

사용자들에게 가는 이메일은 “최근 이러이러한 거래가 진행되었으니 확인을 부탁한다”는 식의 내용으로 구성되어 있었다. 고객 입장에서는 누군가 자신의 계정으로 사기 거래를 했을까봐 서두르게 되고, 이메일에 같이 첨부된 링크를 클릭하게 된다. 하지만 클릭할 경우 시스템으로 악성 PHP 파일이 다운로드 된다.

“일반적으로 보이는 피싱 공격과는 조금 다릅니다. 왜냐하면 일반 피싱 공격은 피싱 페이지 자체를 구축하는 PHP 메일러와 파일들로 구성되어 있기 때문입니다. 주로 로그인 페이지를 진짜와 똑같이 만들 때 PHP 메일러와 파일로 페이지를 구성해내죠. PHP 파일을 직접 다운로드 하는 방식은 그리 흔한 게 아닙니다.”

악성 PHP 파일이 시스템에 안착하면, 가짜 404 오류 페이지가 화면에 뜬다. 그 후 PHP 코드가 가짜 구글 리캡챠 페이지를 띄우는데, 이 때 HTML과 자바스크립트가 함께 사용된다. (리캡챠란 구글의 인증 방식 중 하나로, 주로 사람과 봇을 구분하는 데 사용된다.) “리캡챠 페이지는 구글의 그것과 거의 똑같습니다. 그래서 속기 쉽습니다.”

다만 진짜 리캡챠와 다른 것이 하나 있다. 바로 인증에 사용되는 이미지들이 항상 같다는 것이다. “또한 실제 리캡챠의 오디오 리플레이 기능이 지원되지도 않습니다.”

사용자가 리캡챠를 들여다보는 동안 이 악성 PHP 코드는 시스템을 점검해 어떤 악성 파일을 추가로 다운로드 받을지 결정한다. 안드로이드 시스템에서는 .apk 파일을 받고, 그렇지 않을 경우는 .zip 파일을 받는다. 어떤 유형이든 결국 ‘다운로더’의 일종이며, 실행되었을 경우 뱅크봇이 설치된다. 뱅크봇은 바이러스토탈에서 뱅커(Banker)나 아르테미스(Artemis)라는 이름으로도 등록되어 있다.

뱅크봇을 분석한 보안 업체 이셋(ESET)은 “2017년 초 뱅크봇이 덧입혀진 앱들이 구글 플레이에서 유통되고 있는 것을 발견했고, 분석한 결과 2016년 12월 지하 해커 포럼에서 공개된 소스코드로부터 만들어진 것임을 확인했다”고 밝힌 바 있다. 즉 뱅크봇을 구성하는 소스코드가 이미 사이버 공격자들 사이에서 널리 퍼진 것이며, 따라서 여기에 뿌리를 둔 멀웨어들이 앞으로도 계속 등장할 가능성이 높다는 것이다.

지난 한 해 동안 피싱 수법은 계속해서 영악해졌다. 악성 행위자들은 지속적으로 전략을 발전시켰으며, 속이기 위한 기술력을 높여왔다. 얼마 전에는 구글 번역(Google Translate) 페이지를 활용하거나, 커스텀 폰트를 활용한 피싱 공격이 발견되기도 했다.

3줄 요약
1. 폴란드 은행과 그 고객을 노리는 특수한 피싱 공격 발견됨.
2. 구글의 리캡챠 페이지를 띄워 피해자의 시선을 뺏은 뒤, 뒤로 멀웨어 추가 설치.
3. 최종 페이로드는 뱅크봇의 일종. 뱅크봇 소스코드가 해커들 사이에서 풀린 상태라, 앞으로도 응용 공격이 이어질 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향