.jpg)
MFA까지 무력화한 신형 피싱 키트, ‘자동화·고도화’ 단계로 진입
[보안뉴스 김형근 기자] 대규모 자격 증명 탈취를 용이하게 하는 피싱 키트들이 대거 등장해 주의가 필요하다. 사이버 보안 연구자들은 블랙포스(BlackForce), 고스트프레임(GhostFrame), 인박스프라임AI(InboxPrime AI), 스파이더맨(Spiderman) 등의 피싱 도구들이 활발히 악용되고 있다고 지목했다.
[자료: gettyimagesbank]
8월 처음 탐지된 블랙포스는 MitB (Man in the Browser) 공격을 수행해 OTP를 캡처하고 MFA를 우회하도록 설계됐다. 이 키트는 텔레그램 포럼에서 거래되며, 디즈니, 넷플릭스, DHL 등 11개 이상의 브랜드를 사칭하는 데 사용됐다. 블랙포스는 보안 공급업체와 웹크롤러를 필터링하는 차단 목록을 기반으로 한 다양한 회피 기술을 특징으로 한다.
9월 발견된 또 다른 초기 피싱 키트 고스트프레임은 단순한 HTML 파일 속에 악성 동작을 숨기는 임베디드 아이프레임(Iframe)을 아키텍처의 핵심으로 사용한다.
아이프레임 디자인은 공격자가 메인 웹 페이지를 변경하지 않고 피싱 콘텐츠를 쉽게 교체하거나 특정 지역을 표적할 수 있게 하며, 외부 페이지만 검사하는 보안 도구의 탐지를 회피하는 데 도움이 된다. 공격할 때 무작위로 서브도메인을 생성하고, 분석 및 디버깅을 회피하는 기능을 사용해 분석 시도를 차단한다.
인박스프라임AI는 AI를 활용해 대규모 이메일 캠페인을 자동화한다. 서비스형 악성코드(MaaS) 구독 모델을 채택, 1000달러에 판매되고 있다. 이 플랫폼은 지메일의 웹 인터페이스를 모방하고 활용해 전통적 필터링 메커니즘을 회피하며, 실제 사람의 이메일 전송 행동을 모방하도록 설계됐다.
내장된 AI 기반 이메일 생성기는 언어, 주제, 톤 등 매개변수 설정만으로 설득력 있는 미끼를 생성해 수작업 필요를 없앤다. 스핀택스 지원을 통해 메시지 변형을 생성, 서명 기반 필터를 우회하는 데 도움을 준다.
스파이더맨 키트는 유럽 은행 및 온라인 금융 서비스 고객을 표적으로 하며, 수십 개 은행 로그인 페이지 및 일부 정부 포털을 완벽하게 복제한다. 이 키트는 ISP 화이트리스팅, 지오펜싱, 장치 필터링과 같은 회피 기술을 사용하며, 암호화폐 지갑 시드 구문 및 OTP를 캡처할 수 있다. 이러한 다단계 접근 방식은 로그인 정보만으로 거래 승인을 받기 힘든 유럽 금융 사기에 특히 효과적이다.
또 타이쿤 2FA(Tycoon 2FA)와 솔티 2FA(Salty 2FA)의 코드가 혼합된 하이브리드 공격도 관찰됐는데 이는 키트별 탐지 규칙을 무력화하고 공격자에게 더 많은 탐지 회피 공간을 제공한다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 대규모 자격 증명 탈취를 용이하게 하는 피싱 키트들이 대거 등장해 주의가 필요하다. 사이버 보안 연구자들은 블랙포스(BlackForce), 고스트프레임(GhostFrame), 인박스프라임AI(InboxPrime AI), 스파이더맨(Spiderman) 등의 피싱 도구들이 활발히 악용되고 있다고 지목했다.
[자료: gettyimagesbank]
8월 처음 탐지된 블랙포스는 MitB (Man in the Browser) 공격을 수행해 OTP를 캡처하고 MFA를 우회하도록 설계됐다. 이 키트는 텔레그램 포럼에서 거래되며, 디즈니, 넷플릭스, DHL 등 11개 이상의 브랜드를 사칭하는 데 사용됐다. 블랙포스는 보안 공급업체와 웹크롤러를 필터링하는 차단 목록을 기반으로 한 다양한 회피 기술을 특징으로 한다.
9월 발견된 또 다른 초기 피싱 키트 고스트프레임은 단순한 HTML 파일 속에 악성 동작을 숨기는 임베디드 아이프레임(Iframe)을 아키텍처의 핵심으로 사용한다.
아이프레임 디자인은 공격자가 메인 웹 페이지를 변경하지 않고 피싱 콘텐츠를 쉽게 교체하거나 특정 지역을 표적할 수 있게 하며, 외부 페이지만 검사하는 보안 도구의 탐지를 회피하는 데 도움이 된다. 공격할 때 무작위로 서브도메인을 생성하고, 분석 및 디버깅을 회피하는 기능을 사용해 분석 시도를 차단한다.
인박스프라임AI는 AI를 활용해 대규모 이메일 캠페인을 자동화한다. 서비스형 악성코드(MaaS) 구독 모델을 채택, 1000달러에 판매되고 있다. 이 플랫폼은 지메일의 웹 인터페이스를 모방하고 활용해 전통적 필터링 메커니즘을 회피하며, 실제 사람의 이메일 전송 행동을 모방하도록 설계됐다.
내장된 AI 기반 이메일 생성기는 언어, 주제, 톤 등 매개변수 설정만으로 설득력 있는 미끼를 생성해 수작업 필요를 없앤다. 스핀택스 지원을 통해 메시지 변형을 생성, 서명 기반 필터를 우회하는 데 도움을 준다.
스파이더맨 키트는 유럽 은행 및 온라인 금융 서비스 고객을 표적으로 하며, 수십 개 은행 로그인 페이지 및 일부 정부 포털을 완벽하게 복제한다. 이 키트는 ISP 화이트리스팅, 지오펜싱, 장치 필터링과 같은 회피 기술을 사용하며, 암호화폐 지갑 시드 구문 및 OTP를 캡처할 수 있다. 이러한 다단계 접근 방식은 로그인 정보만으로 거래 승인을 받기 힘든 유럽 금융 사기에 특히 효과적이다.
또 타이쿤 2FA(Tycoon 2FA)와 솔티 2FA(Salty 2FA)의 코드가 혼합된 하이브리드 공격도 관찰됐는데 이는 키트별 탐지 규칙을 무력화하고 공격자에게 더 많은 탐지 회피 공간을 제공한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
