인공지능이 악성 공격자들에게 더 유용할 거라는 예측이 틀리지 않았던 것일까. 인공지능으로 악성 콘텐츠를 너무나 설득력 있게 만든 후, 이를 가지고 여럿 속이는 피싱 캠페인이 등장했다. 이들의 최종 목적은 암호화폐였다.
[보안뉴스 문정후 기자] 특정 계층의 부류들을 표적으로 삼는 정교한 피싱 캠페인이 발견됐다. 보안 업체 카도시큐리티(Cado Security)에서 발견한 것으로, 이 캠페인은 맥OS와 윈도 모두에서 작동하는 정보 탈취 멀웨어인 리얼스트(Realst)를 퍼트리는 것을 목표로 하고 있으며, 이 리얼스트를 통해 암호화폐 관련 정보를 수집하는 것으로 최종 분석됐다.
[이미지 = gettyimagesbank]
캠페인 배후에 있는 세력들은 인공지능을 활용해 가짜 회사를 설립하고, 그 회사가 정상적으로 운영되며 진짜로 존재하는 것처럼 보이게 만들었다. 이 회사의 이름은 현재 미티오(Meetio)이지만, 가짜 회사이기에 언제 바뀔 지 모른다. “이들은 지난 수개월 동안 가짜 회사 이름을 계속해서 바꿨습니다. 공격자들은 그 때마다 그 회사의 이름으로 가짜 웹사이트와 소셜미디어 계정들을 개설해 운영하기도 했는데, 그럴 수 있었던 것은 인공지능 덕분이었습니다.”
이런 신뢰를 바탕으로 피해자를 꼬드겨낸 뒤 공격자들은 “영상 회의를 하고 싶으니 회의 앱을 설치해달라”고 요청하는 것으로 본격적인 공격을 실시했다. 미티오라는 회사(혹은 그 전에 사용됐던 다른 이름의 회사)와 좋은 사업적 관계를 유지하고 싶은 사람들이라면 이 요청에 응할 수밖에 없었다. 하지만 설치되는 건 리얼스트였다는 게 카도의 설명이다.
“공격자들은 클루지(Clusee.com), 큐시(Cuesee), 미튼(Meeten.gg), 미튼(Meeten.us), 미트원(Meetone.gg) 등의 이름으로 회사를 운영하고, 또 각종 웹사이트와 소셜미디어 계정을 운영하기도 했습니다. 각 이름으로 개설된 웹사이트들은 진짜 기업 웹사이트 같았으며, 여러 소셜미디어 플랫폼의 계정과 페이지들 역시 매우 그럴 듯했습니다. 인공지능을 적절히 사용한 덕분입니다.”
공격자들이 이런 웹사이트나 소셜미디어 계정들로 피해자들을 꼬드기는 방법은 여러 가지였다. “어떤 피해자들은 텔레그램을 통해 아는 사람으로부터 연락을 받았는데, 주로 사업 기회에 대해 논의하자는 내용이었다고 합니다. 통화가 당장 어려우면 시간을 맞추자는 내용들도 있었습니다. 하지만 이런 대화를 위해 사용한 텔레그램 계정들은 전부 지인을 사칭하기 위해 만들어진 것이었습니다.”
지인을 사칭해 접근했다는 건 피해자를 매우 정교하게 노렸다는 뜻이 된다. “게다가 피해자가 다니는 기업이나 운영하는 회사에 투자 관련 프레젠테이션 자료까지 만들어 보내기도 했습니다. 피해자를 속이기 위해 정말 많은 애를 쓴 것이지요. 게다가 불특정 다수를 노린 공격이 아니었음도 시사합니다. 그 외에 웹3(Web3) 관련 프로젝트로 통화를 하다가 멀웨어를 다운로드 받은 사례들도 있었습니다. 어느 쪽이든 공격자가 피해자를 특정하여 많은 노력을 기울였음을 알 수 있습니다.”
멀웨어 - 맥OS 버전
이 캠페인에 사용된 멀웨어는 크게 맥OS 버전과 윈도 버전, 두 가지가 있다. 맥OS 버전 파일의 이름은 CallCSSetup.pkg였다. 가짜로 만들어진 회사 웹사이트에 피해자가 접속할 경우 피해자의 컴퓨터로 다운로드 된다. “애초에 피해자에게 선택 옵션이 주어집니다. 맥OS 버전을 받을 거냐, 윈도나 리눅스 버전을 받을 거냐 둘 중 하나를 선택해야 하지요. 하지만 뭘 선택하든 결국 맥OS 버전이 다운로드 됩니다. 어떤 경우 .pkg 파일이 아니라 .dmg 파일이 다운로드 되기도 합니다. 이 멀웨어는 러스트로 작성되었으며, 정보 탈취 기능을 탑재하고 있습니다.”
이를 받아 실행하려 하면 두 가지 오류 메시지가 나타난다. 첫 번째는 “서버에 연결할 수 없다”는 내용이다. 그러므로 프로그램을 다시 설치하거나 VPN을 이용하라는 안내도 같이 나온다. 그래서 그 안내(버튼)에 따라 재설치나 VPN 설치를 시도하면, 사용자가 한 번은 비밀번호를 입력해야만 하는 순간이 나온다. “당연히 공격자가 유도한 것이며, 애플스클비트나 자바스크립트 실행 도구인 osascript를 사용해 피해자의 비밀번호 입력을 유도합니다. 피해자가 비밀번호를 입력하면 이를 저장한 후 압축하여 유출시킵니다.”
이렇게 설치된 리얼스트는 다음과 같은 데이터를 노리는 것으로 조사됐다.
1) 텔레그램용 크리덴셜
2) 은행 카드 정보
3) 키체인 크리덴셜
4) 구글 크롬, 오페라, 브레이브, 마이크로소프트 에지, 아크, 콕콕, 비발디 등 각종 브라우저의 쿠키와 자동완성 크리덴셜
5) 레저(Ledger)와 트레저(Trezor) 지갑 정보
멀웨어 - 윈도 버전
멀웨어의 윈도 버전의 경우 이름이 MeetenApp.exe였다. 이 파일의 경우 브리스소프트웨어(Brys Software)라는 정상 소프트웨어 회사의 정상 서명을 포함하고 있어 모든 면에서 정상적으로 보였다. 하지만 공격자들이 미리 정상 서명을 훔쳐낸 것으로 추정된다. “이 파일에서는 일렉트론(Electron) 기반 애플리케이션이 추출됩니다. 그 외에 app.asar이라는 자바스크립트 코드가 같이 포함되어 있기도 합니다.”
바이트노드(Bytenode)를 통해 컴파일 된 자바스크립트 파일도 발견됐다. 바이트노드는 자바스크립트 코드를 V8 바이트코드로 컴파일하여 실행하지만 소스코드는 노출시키지 않는다. “그러므로 역공학이나 분석을 더 어렵게 하고, 보안 도구에 의한 탐지 확률도 낮춥니다.”
이런 윈도 버전 멀웨어의 경우도 맥OS와 마찬가지로 민감한 데이터를 훔쳐내는 것을 주 목적으로 하고 있었다. 탈취 대상이 되는 데이터도 맥OS의 그것과 비슷하지만 거기에 더해 바이낸스(Binance)와 팬텀(Phantom) 지갑의 데이터도 포함된다.
이런 캠페인에 당하지 않으려면
이번 캠페인은 인공지능을 활용하여 피해자를 속이고 낮은 탐지율의 악성코드를 배포하는 정교함을 선보였다는 점에서 주목할 만하다고 카도시큐리티는 정리한다. “또한 윈도 버전에서 일렉트론을 기반으로 한 애플리케이션이 발견됐다는 것도 특이합니다. 일렉트론을 활용한 악성코드가 사용되기 시작한 건 얼마 되지 않았지만 빠르게 유행을 타고 있거든요. 무엇보다 ‘인공지능은 악의적 콘텐츠를 그럴 듯하게 만드는 데 유용하게 사용될 것’이라는 전망이 딱 맞아들어갔다는 점에서 경각심을 가져야 할 필요가 있습니다.”
이런 종류의 캠페인을 확실히 막을 방법이나 기술은 아직 존재하지 않는다. 대신 처음에 피해자들에게 들어오는 피싱 메시지를 분간하여 속지 않을 수 있다면, 이 정교한 최신 캠페인이 시작도 하지 못하게 할 수 있다고 카도는 강조한다. “텔레그램을 통해 사업이나 투자 설명이 들어온다면 주의해야 합니다. 제안한 사람의 연락처나 출신 기업을 면밀히 검토하고, 링크나 파일을 클릭하여 열기 전에 확실하게 안전한지도 거듭 돌아볼 필요가 있습니다.”
3줄 요약
1. 인공지능을 활용한 정교한 피싱 캠페인 발견됨.
2. Web3 분야 종사자들을 노린 표적형 피싱 캠페인으로, 목적은 암호화폐 지갑 정보를 훔치는 것.
3. 맥OS용과 윈도용 멀웨어 모두가 발견되고 있음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 특정 계층의 부류들을 표적으로 삼는 정교한 피싱 캠페인이 발견됐다. 보안 업체 카도시큐리티(Cado Security)에서 발견한 것으로, 이 캠페인은 맥OS와 윈도 모두에서 작동하는 정보 탈취 멀웨어인 리얼스트(Realst)를 퍼트리는 것을 목표로 하고 있으며, 이 리얼스트를 통해 암호화폐 관련 정보를 수집하는 것으로 최종 분석됐다.
[이미지 = gettyimagesbank]
캠페인 배후에 있는 세력들은 인공지능을 활용해 가짜 회사를 설립하고, 그 회사가 정상적으로 운영되며 진짜로 존재하는 것처럼 보이게 만들었다. 이 회사의 이름은 현재 미티오(Meetio)이지만, 가짜 회사이기에 언제 바뀔 지 모른다. “이들은 지난 수개월 동안 가짜 회사 이름을 계속해서 바꿨습니다. 공격자들은 그 때마다 그 회사의 이름으로 가짜 웹사이트와 소셜미디어 계정들을 개설해 운영하기도 했는데, 그럴 수 있었던 것은 인공지능 덕분이었습니다.”
이런 신뢰를 바탕으로 피해자를 꼬드겨낸 뒤 공격자들은 “영상 회의를 하고 싶으니 회의 앱을 설치해달라”고 요청하는 것으로 본격적인 공격을 실시했다. 미티오라는 회사(혹은 그 전에 사용됐던 다른 이름의 회사)와 좋은 사업적 관계를 유지하고 싶은 사람들이라면 이 요청에 응할 수밖에 없었다. 하지만 설치되는 건 리얼스트였다는 게 카도의 설명이다.
“공격자들은 클루지(Clusee.com), 큐시(Cuesee), 미튼(Meeten.gg), 미튼(Meeten.us), 미트원(Meetone.gg) 등의 이름으로 회사를 운영하고, 또 각종 웹사이트와 소셜미디어 계정을 운영하기도 했습니다. 각 이름으로 개설된 웹사이트들은 진짜 기업 웹사이트 같았으며, 여러 소셜미디어 플랫폼의 계정과 페이지들 역시 매우 그럴 듯했습니다. 인공지능을 적절히 사용한 덕분입니다.”
공격자들이 이런 웹사이트나 소셜미디어 계정들로 피해자들을 꼬드기는 방법은 여러 가지였다. “어떤 피해자들은 텔레그램을 통해 아는 사람으로부터 연락을 받았는데, 주로 사업 기회에 대해 논의하자는 내용이었다고 합니다. 통화가 당장 어려우면 시간을 맞추자는 내용들도 있었습니다. 하지만 이런 대화를 위해 사용한 텔레그램 계정들은 전부 지인을 사칭하기 위해 만들어진 것이었습니다.”
지인을 사칭해 접근했다는 건 피해자를 매우 정교하게 노렸다는 뜻이 된다. “게다가 피해자가 다니는 기업이나 운영하는 회사에 투자 관련 프레젠테이션 자료까지 만들어 보내기도 했습니다. 피해자를 속이기 위해 정말 많은 애를 쓴 것이지요. 게다가 불특정 다수를 노린 공격이 아니었음도 시사합니다. 그 외에 웹3(Web3) 관련 프로젝트로 통화를 하다가 멀웨어를 다운로드 받은 사례들도 있었습니다. 어느 쪽이든 공격자가 피해자를 특정하여 많은 노력을 기울였음을 알 수 있습니다.”
멀웨어 - 맥OS 버전
이 캠페인에 사용된 멀웨어는 크게 맥OS 버전과 윈도 버전, 두 가지가 있다. 맥OS 버전 파일의 이름은 CallCSSetup.pkg였다. 가짜로 만들어진 회사 웹사이트에 피해자가 접속할 경우 피해자의 컴퓨터로 다운로드 된다. “애초에 피해자에게 선택 옵션이 주어집니다. 맥OS 버전을 받을 거냐, 윈도나 리눅스 버전을 받을 거냐 둘 중 하나를 선택해야 하지요. 하지만 뭘 선택하든 결국 맥OS 버전이 다운로드 됩니다. 어떤 경우 .pkg 파일이 아니라 .dmg 파일이 다운로드 되기도 합니다. 이 멀웨어는 러스트로 작성되었으며, 정보 탈취 기능을 탑재하고 있습니다.”
이를 받아 실행하려 하면 두 가지 오류 메시지가 나타난다. 첫 번째는 “서버에 연결할 수 없다”는 내용이다. 그러므로 프로그램을 다시 설치하거나 VPN을 이용하라는 안내도 같이 나온다. 그래서 그 안내(버튼)에 따라 재설치나 VPN 설치를 시도하면, 사용자가 한 번은 비밀번호를 입력해야만 하는 순간이 나온다. “당연히 공격자가 유도한 것이며, 애플스클비트나 자바스크립트 실행 도구인 osascript를 사용해 피해자의 비밀번호 입력을 유도합니다. 피해자가 비밀번호를 입력하면 이를 저장한 후 압축하여 유출시킵니다.”
이렇게 설치된 리얼스트는 다음과 같은 데이터를 노리는 것으로 조사됐다.
1) 텔레그램용 크리덴셜
2) 은행 카드 정보
3) 키체인 크리덴셜
4) 구글 크롬, 오페라, 브레이브, 마이크로소프트 에지, 아크, 콕콕, 비발디 등 각종 브라우저의 쿠키와 자동완성 크리덴셜
5) 레저(Ledger)와 트레저(Trezor) 지갑 정보
멀웨어 - 윈도 버전
멀웨어의 윈도 버전의 경우 이름이 MeetenApp.exe였다. 이 파일의 경우 브리스소프트웨어(Brys Software)라는 정상 소프트웨어 회사의 정상 서명을 포함하고 있어 모든 면에서 정상적으로 보였다. 하지만 공격자들이 미리 정상 서명을 훔쳐낸 것으로 추정된다. “이 파일에서는 일렉트론(Electron) 기반 애플리케이션이 추출됩니다. 그 외에 app.asar이라는 자바스크립트 코드가 같이 포함되어 있기도 합니다.”
바이트노드(Bytenode)를 통해 컴파일 된 자바스크립트 파일도 발견됐다. 바이트노드는 자바스크립트 코드를 V8 바이트코드로 컴파일하여 실행하지만 소스코드는 노출시키지 않는다. “그러므로 역공학이나 분석을 더 어렵게 하고, 보안 도구에 의한 탐지 확률도 낮춥니다.”
이런 윈도 버전 멀웨어의 경우도 맥OS와 마찬가지로 민감한 데이터를 훔쳐내는 것을 주 목적으로 하고 있었다. 탈취 대상이 되는 데이터도 맥OS의 그것과 비슷하지만 거기에 더해 바이낸스(Binance)와 팬텀(Phantom) 지갑의 데이터도 포함된다.
이런 캠페인에 당하지 않으려면
이번 캠페인은 인공지능을 활용하여 피해자를 속이고 낮은 탐지율의 악성코드를 배포하는 정교함을 선보였다는 점에서 주목할 만하다고 카도시큐리티는 정리한다. “또한 윈도 버전에서 일렉트론을 기반으로 한 애플리케이션이 발견됐다는 것도 특이합니다. 일렉트론을 활용한 악성코드가 사용되기 시작한 건 얼마 되지 않았지만 빠르게 유행을 타고 있거든요. 무엇보다 ‘인공지능은 악의적 콘텐츠를 그럴 듯하게 만드는 데 유용하게 사용될 것’이라는 전망이 딱 맞아들어갔다는 점에서 경각심을 가져야 할 필요가 있습니다.”
이런 종류의 캠페인을 확실히 막을 방법이나 기술은 아직 존재하지 않는다. 대신 처음에 피해자들에게 들어오는 피싱 메시지를 분간하여 속지 않을 수 있다면, 이 정교한 최신 캠페인이 시작도 하지 못하게 할 수 있다고 카도는 강조한다. “텔레그램을 통해 사업이나 투자 설명이 들어온다면 주의해야 합니다. 제안한 사람의 연락처나 출신 기업을 면밀히 검토하고, 링크나 파일을 클릭하여 열기 전에 확실하게 안전한지도 거듭 돌아볼 필요가 있습니다.”
3줄 요약
1. 인공지능을 활용한 정교한 피싱 캠페인 발견됨.
2. Web3 분야 종사자들을 노린 표적형 피싱 캠페인으로, 목적은 암호화폐 지갑 정보를 훔치는 것.
3. 맥OS용과 윈도용 멀웨어 모두가 발견되고 있음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
