[이미지 = gettyimagesbank]
배경 : 이번 공격은 피싱 이메일로부터 시작한다. 메일에는 HTML 파일이 첨부되어 있기도 하고, 링크가 삽입되어 있기도 하다. 여기에 반응하면 감염 프로세스가 시작된다. 다운로더나 드로퍼가 먼저 설치되고, 이를 통해 RAT 페이로드가 원격 서버로부터 다운로드 된다. 이 RAT가 삼바스파이다. 삼바스파이는 자바로 개발됐다. 피해자가 이탈리아어로 설정된 브라우저를 사용할 경우에만 위의 공격 절차들이 발동된다.
말말말 : “공격자들이 사용하는 HTML 내 자바스크립트 코드에는 브라질에서 사용되는 포르투갈어로 작성된 코멘트들이 포함되어 있습니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>