2024-04-24 15:10 (수)
신종 사이버 범죄 수법 사례 모음...“일론 머스크가 화성 탐사를 보내 드립니다!”
상태바
신종 사이버 범죄 수법 사례 모음...“일론 머스크가 화성 탐사를 보내 드립니다!”
  • 길민권 기자
  • 승인 2024.02.08 13:00
이 기사를 공유합니다

수많은 사람들이 사용하는 만큼 수많은 위험이 도사리는 곳이 인터넷이다. 따라서 인터넷에 전 세계 사이버 범죄자들이 몰려드는 것도 전혀 놀라운 일은 아니다. 그런데 최근 몇 주 동안 자사 연구진은 사회공학기법을 사기를 위해 일반적인 형태에서 벗어나는 악성 캠페인을 다수 발견했다.

◇화성행 티켓

몇 년 전만 해도 우주관광이 신문기사 제목을 장식하는 등 한창 주목받았다. 우주 시대 도래를 앞두고 머지않아 미국 항공우주국(NASA)이 달 기지를 구축할 것처럼 보였지만, 결국 이런 일은 일어나지 않았다. 아직까지도 우주는 우주비행사, 과학자, 세계 부호들의 전유물로 남아있다.

그러나 대박을 노리는(go big or go home) 한탕주의 때문에 최근 악성 이메일 캠페인은 준궤도 우주비행이나 달 탐사 수준에 그치지 않고 있다. 장차 피해자가 될 이메일 수신자에게 화성(Mars) 탐사 기회를 얻을 수 있다는 메시지를 보낸다.

“화성 탐사 기회의 주인공이 되셨습니다”라는 이메일 제목에 최근 Elon Musk의 자서전 이미지와 허위 Adobe Reader 업데이트 공지 팝업창이 담긴 PDF를 첨부했다. 또한, 허위 팝업창에 있는 다운로드 버튼은 정보 탈취형 멀웨어(Redline Stealer) 다운로드를 실행하는 tar.gz 파일에 연결되어 있었다.

Windows는 네이티브 시스템에서 2023년 10월부터 Windows 11 파일 유형을 지원하기 시작했기 때문에 얼마 지나지 않은 현재 이러한 캠페인이 횡행한다는 사실에 놀라지 않을 수 없다.

위협 행위자들은 누가 그런 거짓에 속을까 싶을 정도로 상상하기 어려운 수법으로 피해자를 유혹하는 경우가 종종 있다. 물론 그들은 수법을 매우 치밀하게 설계한다. 일부 이메일 수신자는 단순 호기심으로 유혹에 말려들기도 한다. 결국 피해자 유인에 필요한 사회공학적 수법으로 피해자가 발생하게 되는데, 흔히 다운로드 버튼을 클릭하게 하는 수법을 사용한다. 이때 피해자는 자신이 정말 화성 탐사 기회를 얻었는지 확인하지도 않고, 오로지 어떻게 그런 기회가 자신에게 왔는지에 대해 관심 갖게 된다.

◇허위 고객서비스 민원 제기

누구나 살아가면서 항상 좋은 일만 있을리 만무하지만 소셜미디어를 이용해 고객서비스 민원을 구경거리로 만드는 수법으로, 빈도가 높지는 않다. 여기서 위협 행위자는 '대니얼 로드리게즈(Daniel Rodriguez)'나 '엠마 그레이스(Emma Grace)' 등의 가상 불만 고객이 작성한 메시지를 배포한다. 대니얼과 엠마는 서비스에 잔뜩 불만을 느껴서 단순히 서비스에 불만을 제기하는데 그치지 않고 'Attitude_report.svg' 파일까지 첨부하여 불안감을 조장한다.

그런데 SVG는 '스케일러블 벡터 그래픽스(Scalable Vector Graphics)' 파일의 확장자명으로, 불친절한 직원에 대한 불만을 작성하기에 쓰기에는 어울리지 않는 형식이다. 영문도 모르는 이메일 수신자는 습관적으로 첨부파일을 다운로드하게 되고 이때부터 문제가 발생한다.

SVG는 브라우저에서 복잡한 감염망을 발생시켜 정보 탈취형 펨드론스틸러(Phemedrone Stealer) 멀웨어를 활성화한다. 이 공격망은 CVE-2023-38831을 사용하는 것으로 악명이 높으며, 매크로 이후 많이 사용되고 있는 SVG 파일 추세를 주도적으로 악용하고 있다.

◇우크라이나 전쟁을 악용한 우즈베키스탄 파트너사 위장

최근의 러시아-우크라이나 전쟁은 지역적 대혼란을 야기했을 뿐만 아니라 전 세계 사이버 범죄자들에게까지 영향을 미쳤다. 최근 캠페인에서 자사 연구진은 우크라이나 제품 수급이 어려운 상황을 구실로 악용한 위협 행위자를 파악해냈다. 우즈베키스탄 파트너사로 위장한 공격자가 유럽 전역을 타깃으로 한 공격을 추진하고 있었던 것이다.

해당 이메일은 하이퍼링크 메시지를 PDF 첨부파일로 교묘하게 위장하였고, 피해자가 이미지를 클릭하면 MediaFire URL로 연결되어 감염망이 AgentTesla로 이어지도록 설계되어 있었다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★