좋은 것들만 뜯어내 합친 피싱 키트들이 점점 많아지고 있다. 지금은 어설픈 부분도 있고 코드가 지저분하지만 앞으로는 더 정돈될 전망이다. 결국 피싱 키트도 모듈화의 커다란 흐름 안으로 들어갔다.
[보안뉴스 문가용 기자] 피싱 키트들이 점점 ‘프랑켄슈타인’을 닮아가고 있다. 최근 발견된 한 피싱 키트도 기존의 유명 피싱 키트 다섯 개를 짜깁기 한 것으로 분석됐다. 이 키트의 이름은 투데이주(TodayZoo)이며 마이크로소프트가 최근에 발견했다. 댄스바이다(DanceVida)라는 키트를 기반으로 하고 있으며 개발자가 다른 피싱 키티의 장점을 이어붙인 것으로 보인다.
[이미지 = utoimage]
투데이주가 처음 발견된 건 2020년 12월의 일이다. 그리고 지난 3월과 6월에 마이크로소프트 사용자들의 크리덴셜 정보를 노리는 대규모 캠페인에 활용됐다. MS가 투데이주를 추적한 건 이 때부터다. MS의 보안 파트너인 탠메이 가나차랴(Tanmay Ganacharya)는 “요즘 이렇게 프랑켄슈타인처럼 각종 피싱 키트를 이어 붙여 만드는 피싱 키트가 곧잘 눈에 띈다”고 말한다.
“피싱 키트라는 것도 멀웨어들처럼 결국 모듈 구성으로 흘러갈 수밖에 없습니다. 실제로 그렇게 되어가고 있는 게 지금 추세이고요. 모듈 구성으로 될 경우 멀웨어든 피싱 키트든 공격 수사에 혼선을 줄 수밖에 없습니다. 반면 공격자들은 필요한 기능을 편리하게 추가할 수 있게 되고, 그만큼 시그니처 탐지에 빠르게 대응할 수 있게 됩니다.”
피싱 키트는 민감한 정보와 크리덴셜을 훔쳐내는 도구로서 갈수록 높은 인기를 구가하고 있다. 쉽게 피싱 이메일을 보내거나 피싱 사이트를 만들어 구축할 수 있도록 해 준다. 주로 인기 높은 브랜드에서 보낸 고객 메일이나 사이트로 위장되어 있는데, 피싱 공격자들이 가장 많이 활용하는 브랜드는 2021년 기준 애플, 페이팔, 아마존, 마이크로소프트였다. 이런 회사들의 고객들이 갖고 있는 브랜드 충성도와 신뢰를 악용하는 것이다.
피싱 키트들은 크게 세 가지 요소로 구성되어 있다.
1) 인기 높은 브랜드의 로그인 페이지를 흉내 낼 수 있도록 하는 기능
2) 1)번을 통해 만든 페이지에 악성 코드를 주입하고 난독화 하는 기능
3) 크리덴셜이나 민감 정보를 수집하고 공격자에게 전송하는 기능
MS가 분석한 바에 의하면 투데이주와 댄스바이다는 약 30~35% 정도 겹치는 부분을 가지고 있다고 한다. 가장 두드러지는 차이는 3)번인 정보 수집 기능 및 전송에서 발견되고 있다. “공격자들이 오래된 피싱 키트의 템플릿을 발견하고 정보 수집 부분을 살짝 손 본 것으로 보입니다. 자신들만의 정보 수집 목적과 방식을 댄스바이다에 적용한 것이죠.”
투데이주 캠페인은 피해자가 누구든 다 똑같이 4단계로 진행됐다.
1) 가짜 이메일을 피해자에게 전송한다.
2) 이메일을 받은 피해자가 링크를 클릭하면 최초 피싱 페이지로 우회시킨다.
3) 공격자는 여러 개의 페이지를 우회 접속하기 시작한다.
4) 마지막으로 최종 랜딩 페이지에 접속하게 된다. 이 최종 랜딩 페이지는 호스팅 업체인 디지털 오션(Digital Ocean)이 호스팅하고 있다.
“요즘 등장하고 있는 피싱 키트들 대부분은 여러 키트 패밀리들의 장점들을 한데 집약한 형태로 만들어져 있습니다. 물론 이게 갑자기 시작된 유행은 전혀 아닙니다만 이제는 슬슬 일종의 ‘피싱 키트 제작 규범’의 정석으로 자리를 잡아 가고 있다고 봐도 될 단계입니다. 짜깁기와 모듈화가 피싱 키트의 표준이 되었다는 뜻이죠.”
투데이주의 코드를 들여다 보면 원래 소스코드에서부터 복사된 링크 등의 흔적들을 다수 발견할 수 있다고 한다. 물론 이제는 어디로도 연결되지 않는 링크들이며, 아무런 기능이 없는 흔적들이다. 이 역시 요즘 피싱 키트 개발자들이 어떤 식으로 키트를 만드는지를 보여주는 부분이라고 MS 측은 설명한다. “이런 개발 행위가 총합적으로 이뤄질 경우 좀 더 다듬어지고 매끄러워질 것입니다. 더 나은 기능들만이 살아남겠고요.”
이렇게 가다듬어진 피싱 키트는 기업과 기관들에 더 큰 위협이 될 것이라고 MS는 경고한다. “이메일을 보안은 가장 기본적이면서도 가장 간과되는 분야 중 하나입니다. 피싱 키트가 변해가는 만큼 이메일 보안도 계속해서 최신화 되어야 합니다. 메일 서버의 설정부터 다중 인증 도입까지 다양한 방법을 사용자들이 찾아서 구축하는 게 중요합니다.”
3줄 요약
1. 투데이주라는 피싱 키트, 최근 크리덴셜 수집 공격에 널리 활용됨.
2. 자세히 들여다 보니 여러 피싱 키트를 짜깁기한 ‘프랑켄슈타인.’
3. 멀웨어가 그렇듯 피싱 키트들도 점점 모듈화가 되어가는 추세.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 피싱 키트들이 점점 ‘프랑켄슈타인’을 닮아가고 있다. 최근 발견된 한 피싱 키트도 기존의 유명 피싱 키트 다섯 개를 짜깁기 한 것으로 분석됐다. 이 키트의 이름은 투데이주(TodayZoo)이며 마이크로소프트가 최근에 발견했다. 댄스바이다(DanceVida)라는 키트를 기반으로 하고 있으며 개발자가 다른 피싱 키티의 장점을 이어붙인 것으로 보인다.
[이미지 = utoimage]
투데이주가 처음 발견된 건 2020년 12월의 일이다. 그리고 지난 3월과 6월에 마이크로소프트 사용자들의 크리덴셜 정보를 노리는 대규모 캠페인에 활용됐다. MS가 투데이주를 추적한 건 이 때부터다. MS의 보안 파트너인 탠메이 가나차랴(Tanmay Ganacharya)는 “요즘 이렇게 프랑켄슈타인처럼 각종 피싱 키트를 이어 붙여 만드는 피싱 키트가 곧잘 눈에 띈다”고 말한다.
“피싱 키트라는 것도 멀웨어들처럼 결국 모듈 구성으로 흘러갈 수밖에 없습니다. 실제로 그렇게 되어가고 있는 게 지금 추세이고요. 모듈 구성으로 될 경우 멀웨어든 피싱 키트든 공격 수사에 혼선을 줄 수밖에 없습니다. 반면 공격자들은 필요한 기능을 편리하게 추가할 수 있게 되고, 그만큼 시그니처 탐지에 빠르게 대응할 수 있게 됩니다.”
피싱 키트는 민감한 정보와 크리덴셜을 훔쳐내는 도구로서 갈수록 높은 인기를 구가하고 있다. 쉽게 피싱 이메일을 보내거나 피싱 사이트를 만들어 구축할 수 있도록 해 준다. 주로 인기 높은 브랜드에서 보낸 고객 메일이나 사이트로 위장되어 있는데, 피싱 공격자들이 가장 많이 활용하는 브랜드는 2021년 기준 애플, 페이팔, 아마존, 마이크로소프트였다. 이런 회사들의 고객들이 갖고 있는 브랜드 충성도와 신뢰를 악용하는 것이다.
피싱 키트들은 크게 세 가지 요소로 구성되어 있다.
1) 인기 높은 브랜드의 로그인 페이지를 흉내 낼 수 있도록 하는 기능
2) 1)번을 통해 만든 페이지에 악성 코드를 주입하고 난독화 하는 기능
3) 크리덴셜이나 민감 정보를 수집하고 공격자에게 전송하는 기능
MS가 분석한 바에 의하면 투데이주와 댄스바이다는 약 30~35% 정도 겹치는 부분을 가지고 있다고 한다. 가장 두드러지는 차이는 3)번인 정보 수집 기능 및 전송에서 발견되고 있다. “공격자들이 오래된 피싱 키트의 템플릿을 발견하고 정보 수집 부분을 살짝 손 본 것으로 보입니다. 자신들만의 정보 수집 목적과 방식을 댄스바이다에 적용한 것이죠.”
투데이주 캠페인은 피해자가 누구든 다 똑같이 4단계로 진행됐다.
1) 가짜 이메일을 피해자에게 전송한다.
2) 이메일을 받은 피해자가 링크를 클릭하면 최초 피싱 페이지로 우회시킨다.
3) 공격자는 여러 개의 페이지를 우회 접속하기 시작한다.
4) 마지막으로 최종 랜딩 페이지에 접속하게 된다. 이 최종 랜딩 페이지는 호스팅 업체인 디지털 오션(Digital Ocean)이 호스팅하고 있다.
“요즘 등장하고 있는 피싱 키트들 대부분은 여러 키트 패밀리들의 장점들을 한데 집약한 형태로 만들어져 있습니다. 물론 이게 갑자기 시작된 유행은 전혀 아닙니다만 이제는 슬슬 일종의 ‘피싱 키트 제작 규범’의 정석으로 자리를 잡아 가고 있다고 봐도 될 단계입니다. 짜깁기와 모듈화가 피싱 키트의 표준이 되었다는 뜻이죠.”
투데이주의 코드를 들여다 보면 원래 소스코드에서부터 복사된 링크 등의 흔적들을 다수 발견할 수 있다고 한다. 물론 이제는 어디로도 연결되지 않는 링크들이며, 아무런 기능이 없는 흔적들이다. 이 역시 요즘 피싱 키트 개발자들이 어떤 식으로 키트를 만드는지를 보여주는 부분이라고 MS 측은 설명한다. “이런 개발 행위가 총합적으로 이뤄질 경우 좀 더 다듬어지고 매끄러워질 것입니다. 더 나은 기능들만이 살아남겠고요.”
이렇게 가다듬어진 피싱 키트는 기업과 기관들에 더 큰 위협이 될 것이라고 MS는 경고한다. “이메일을 보안은 가장 기본적이면서도 가장 간과되는 분야 중 하나입니다. 피싱 키트가 변해가는 만큼 이메일 보안도 계속해서 최신화 되어야 합니다. 메일 서버의 설정부터 다중 인증 도입까지 다양한 방법을 사용자들이 찾아서 구축하는 게 중요합니다.”
3줄 요약
1. 투데이주라는 피싱 키트, 최근 크리덴셜 수집 공격에 널리 활용됨.
2. 자세히 들여다 보니 여러 피싱 키트를 짜깁기한 ‘프랑켄슈타인.’
3. 멀웨어가 그렇듯 피싱 키트들도 점점 모듈화가 되어가는 추세.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
