.jpg)
.gif)
OS, 폴더, 파일, 레지스트리, 프로세스 등...조각모음한 개인정보로 전체 신원 공격 가능성도
웹 페이지 접속 시 ‘주소 확인’ 및 내려받은 파일 실행 전 ‘확장자 확인’ 필요
[보안뉴스 김영명 기자] 사이버 공격자들은 공격 대상자의 개인정보를 탈취하는 것에서 그치지 않고, 더 많은 사용자의 정보들을 탈취하고 있다. 이들은 다양한 방법을 이용해 생년월일과 같은 아주 기본적인 개인정보뿐 아니라 계정정보, 사용자 시스템 OS, 폴더, 파일, 레지스트리, 프로세스 등 다양한 정보들을 수집하고 있어 사용자 주의가 필요하다.
▲카카오 피싱메일의 모습[자료=이스트시큐리티 ESRC]
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 이들 공격자는 정상 서비스를 위장해 개인정보 탈취를 시도하는 공격을 지속하고 있다. 특히, 이달 초에는 카카오 로그인 인증번호를 사칭한 피싱 메일이 발견되기도 했다.
해당 피싱 메일은 마치 누군가 사용자의 계정을 이용해 로그인 제한 국가에서 로그인을 시도하는 것처럼 위장하고 있다. 이를 통해 사용자가 ‘계정도용신고’ 혹은 ‘내 계정이 아님’을 클릭하도록 유도한다. 이때 사용자가 ‘계정도용신고’ 혹은 ‘내 계정이 아님’ 등을 클릭하면, 카카오 로그인 페이지와 유사하게 제작된 피싱 페이지로 접속되며, 비밀번호 입력을 유도해 계정정보 탈취를 시도한다.
▲카카오 피싱 페이지의 ‘비밀번호 확인’ 화면[자료=이스트시큐리티 ESRC]
ESRC에서는 8월 중순 무렵, ‘REPORT.zip’이라는 압축파일을 발견했으며, 해당 압축파일 내에는 ‘현황조사표’라는 파일명의 악성 LNK 파일이 포함돼 있었다고 밝혔다. 특히 해당 파일을 분석한 결과, LNK 파일 내에는 파워쉘 코드가 포함됐으며, 사용자가 실행할 경우 ‘현황조사표.xlsx’ 디코이 파일을 보여줘 정상 파일인 것처럼 위장했다. 하지만 백그라운드에서는 레지스트리에 .bat 파일을 등록하고 실행하며, 사용자 PC 정보를 탈취해 공격자 서버로 전송한다.
ESRC는 카카오를 사칭한 피싱 메일과 악성 LNK 파일 공격을 분석하던 중 카카오 피싱 이메일 내 피싱 사이트 주소와 현황조사표.LNK 파일 내 C2 주소가 같다는 것을 확인해 추가로 분석했다. ESRC는 추가 분석된 자료를 통해 공격자 서버에서 ‘REPORT.zip’ 파일 이외에도 ‘KB_20230531.rar’, ‘hanacard_20230610.rar’ 등 파일들을 확보했다.
▲공격자 서버에서 확보한 악성 chm 파일들[자료=이스트시큐리티 ESRC]
해당 KB_20230531.rar, hanacard_20230610.rar 파일 내부에는 KB_20230531.chm, hanacard_20230610.chm 파일이 포함돼 있으며, .chm 파일을 실행하면 사용자에게 개인정보 입력을 유도해 최종적으로 개인정보를 탈취해 공격자 서버로 전송할 것으로 추정되고 있다.
ESRC 관계자는 “공격자들은 다양한 방법을 이용해 생년월일과 같은 개인정보와 함께 계정정보, 사용자 시스템 OS·폴더·파일·레지스트리·프로세스 등 다양한 정보들의 수집을 시도하고 있다. 다양한 곳에서 조금씩 수집한 개인정보들을 퍼즐처럼 조합하면 특정 개인의 상세한 개인정보 완성이 가능하며, 이를 악용해 해당 개인에 대한 맞춤형 공격 진행이 가능하게 되는 만큼 주의가 필요하다”고 밝혔다. 이어 “사용자들은 웹 페이지 접속 시 반드시 주소창을 확인해 주소가 맞는지 확인하고, 파일을 실행하기 전에 파일 확장자의 확인이 필요하다. 특히, .chm, .lnk 등 확장자의 경우 공격자들이 공격에 자주 사용하는 확장자들이기 때문에 실행 전에 확인하는 습관을 길러야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]
웹 페이지 접속 시 ‘주소 확인’ 및 내려받은 파일 실행 전 ‘확장자 확인’ 필요
[보안뉴스 김영명 기자] 사이버 공격자들은 공격 대상자의 개인정보를 탈취하는 것에서 그치지 않고, 더 많은 사용자의 정보들을 탈취하고 있다. 이들은 다양한 방법을 이용해 생년월일과 같은 아주 기본적인 개인정보뿐 아니라 계정정보, 사용자 시스템 OS, 폴더, 파일, 레지스트리, 프로세스 등 다양한 정보들을 수집하고 있어 사용자 주의가 필요하다.
▲카카오 피싱메일의 모습[자료=이스트시큐리티 ESRC]
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면, 이들 공격자는 정상 서비스를 위장해 개인정보 탈취를 시도하는 공격을 지속하고 있다. 특히, 이달 초에는 카카오 로그인 인증번호를 사칭한 피싱 메일이 발견되기도 했다.
해당 피싱 메일은 마치 누군가 사용자의 계정을 이용해 로그인 제한 국가에서 로그인을 시도하는 것처럼 위장하고 있다. 이를 통해 사용자가 ‘계정도용신고’ 혹은 ‘내 계정이 아님’을 클릭하도록 유도한다. 이때 사용자가 ‘계정도용신고’ 혹은 ‘내 계정이 아님’ 등을 클릭하면, 카카오 로그인 페이지와 유사하게 제작된 피싱 페이지로 접속되며, 비밀번호 입력을 유도해 계정정보 탈취를 시도한다.
▲카카오 피싱 페이지의 ‘비밀번호 확인’ 화면[자료=이스트시큐리티 ESRC]
ESRC에서는 8월 중순 무렵, ‘REPORT.zip’이라는 압축파일을 발견했으며, 해당 압축파일 내에는 ‘현황조사표’라는 파일명의 악성 LNK 파일이 포함돼 있었다고 밝혔다. 특히 해당 파일을 분석한 결과, LNK 파일 내에는 파워쉘 코드가 포함됐으며, 사용자가 실행할 경우 ‘현황조사표.xlsx’ 디코이 파일을 보여줘 정상 파일인 것처럼 위장했다. 하지만 백그라운드에서는 레지스트리에 .bat 파일을 등록하고 실행하며, 사용자 PC 정보를 탈취해 공격자 서버로 전송한다.
ESRC는 카카오를 사칭한 피싱 메일과 악성 LNK 파일 공격을 분석하던 중 카카오 피싱 이메일 내 피싱 사이트 주소와 현황조사표.LNK 파일 내 C2 주소가 같다는 것을 확인해 추가로 분석했다. ESRC는 추가 분석된 자료를 통해 공격자 서버에서 ‘REPORT.zip’ 파일 이외에도 ‘KB_20230531.rar’, ‘hanacard_20230610.rar’ 등 파일들을 확보했다.
▲공격자 서버에서 확보한 악성 chm 파일들[자료=이스트시큐리티 ESRC]
해당 KB_20230531.rar, hanacard_20230610.rar 파일 내부에는 KB_20230531.chm, hanacard_20230610.chm 파일이 포함돼 있으며, .chm 파일을 실행하면 사용자에게 개인정보 입력을 유도해 최종적으로 개인정보를 탈취해 공격자 서버로 전송할 것으로 추정되고 있다.
ESRC 관계자는 “공격자들은 다양한 방법을 이용해 생년월일과 같은 개인정보와 함께 계정정보, 사용자 시스템 OS·폴더·파일·레지스트리·프로세스 등 다양한 정보들의 수집을 시도하고 있다. 다양한 곳에서 조금씩 수집한 개인정보들을 퍼즐처럼 조합하면 특정 개인의 상세한 개인정보 완성이 가능하며, 이를 악용해 해당 개인에 대한 맞춤형 공격 진행이 가능하게 되는 만큼 주의가 필요하다”고 밝혔다. 이어 “사용자들은 웹 페이지 접속 시 반드시 주소창을 확인해 주소가 맞는지 확인하고, 파일을 실행하기 전에 파일 확장자의 확인이 필요하다. 특히, .chm, .lnk 등 확장자의 경우 공격자들이 공격에 자주 사용하는 확장자들이기 때문에 실행 전에 확인하는 습관을 길러야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)