Home > 전체기사
‘코로나 보조금’을 테마로 한 피싱 공격, 이미 영어권에서 시작돼
  |  입력 : 2020-03-31 13:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각국 정부들, 코로나 사태로 인한 경기 침체 우려해 각종 보상안 마련 중
이러한 분위기 감지한 공격자들, 악용하기 위한 피싱 공격 시작해


[보안뉴스 문가용 기자] IBM과 파이어아이(FireEye)가 ‘COVID-19 보상금’이라는 제목의 피싱 이메일이 돌아다니고 있는 걸 발견했다. 이 메일에 속아서 첨부파일을 열게 되면 사용자는 제우스 스핑크스(Zeus Sphinx)라는 뱅킹 트로이목마에 걸리게 된다. 파이어아이는 이 멀웨어를 사일런트나이트(SILENTNIGHT)라고 부른다.

[이미지 = iclickart]


문제의 메일은 코로나 바이러스와 관련하여 보상금을 지불해준다는 내용을 담은 것처럼 꾸며져 있다. 제목과 첨부된 문서의 이름도 비슷하다. 영어권에서는 ‘COVID-19 Payment’ 혹은 ‘COVID-19 Relief’ 등으로 발견되는 상황이다. 아직까지는 미국, 캐나다, 호주의 국민들이 주로 표적인 것으로 보인다.

캐나다의 국민을 겨냥한 이메일의 경우 캐나다의 수상인 쥐스탱 트뤼도(Justin Trudeau)가 전 국민을 대상으로 한 보상금 지불을 인허했으며, 첨부된 양식을 채워서 제출할 경우 2500 캐나다 달러를 받을 수 있다는 내용이 적혀 있다. 호주인을 겨냥한 메일에는 2500 호주 달러가 지급된다고 써 있다. 이 이메일을 받은 사람 중에는 경찰도 있는 것으로 알려져 있다.

첨부된 문서는 오피스 워드(Word)로, 비밀번호로 보호되어 있다. 다만 비밀번호는 이메일 내용에 포함되어 있어 누구나 열 수 있도록 만들어져 있다. 사용자가 이 문서를 열 경우, “매크로를 활성화시키라”는 내용의 알림 메시지를 받는다. 매크로를 활성화시킬 경우 결국 제우스 스핑크스가 설치된다.

제우스 스핑크스는 보안 업체나 전문가에 따라 지로더(Zloader)나 터돗(Terdot)이라고도 불리며, 2015년 처음 발견된 것이다. 주로 영국의 은행 고객들이 표적이었으나, 곧 북미, 브라질, 호주의 은행 고객들도 피해를 입기 시작했다. 온라인 뱅킹 크리덴셜 및 개인정보를 수집하는 것이 제우스 스핑크스의 주요 기능이다.

IBM에 따르면 제우스 스핑크스는 약 3년 동안 나타나지 않았던 멀웨어인데 돌연 등장했다고 한다. 현재 버전과 3년 전 버전 사이에 큰 차이가 있는 것도 아니라고 한다. “제우스 스핑크스의 활동이 2019년 12월에 살짝 드러난 바 있으나 매우 경미한 정도였습니다. 그러다가 지금 3월에 급작스럽게 늘어나고 있는데요, 아마 그 동안 시험 가동 기간을 가졌던 것으로 보입니다. 그런 차에 코로나 사태가 터져 공격자들로서는 부활하기 좋은 시기가 된 것이죠.”

여기에 더해 ‘COVID-19에 대응하기 위한 기업 보조금과 융자 가이드라인’이라는 제목의 피싱 이메일을 파이어아이가 발견했다. 이 가짜 이메일은 금융 업계 종사자들에게 전송되고 있었다. 첨부된 파일은 마치 미국중소기업청이 보낸 것처럼 꾸며져 있는데, 이를 열면 마이크로소프트 계정 크리덴셜을 수집하는 피싱 페이지로 안내된다.

파이어아이는 코로나 바이러스 사태 때문에 침체된 경제를 일으키기 위한 대책으로 많은 정부들이 보상안을 마련하고 있는데, 해커들 사이에서 이를 악용하거나 노리려는 움직임이 연구되고 있는 것이라고 경고한다. 한국 정부도 이러한 방안을 마련하고 있어, 조만간 한국어를 구사하는 해커들이 비슷한 시도를 할 것으로 예상된다.

파이어아이의 공식 발표 내용은 여기(https://www.fireeye.com/blog/threat-research/2020/03/stimulus-bill-social-engineering-covid-19-financial-compensation-schemes.html)서 열람이 가능하다.

3줄 요약
1. 코로나 바이러스 보상금 관련 제목이 붙은 가짜 이메일, 영어권에서 돌아다니기 시작.
2. 열어서 첨부파일 다운로드 받으면 제우스 스핑크스라는 뱅킹 트로이목마가 설치됨.
3. 금융권 종사자들을 노린 ‘보조금 및 융자 가이드라인’ 문서도 유행하기 시작함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)