스크린샷을 사용하여 멀웨어를 전달하는 새로운 피싱 캠페인

Proofpoint 위협 연구 연구원들은 의심하지 않는 피해자에게 멀웨어 페이로드를 전달하기 위해 스크린샷을 사용하는 새로운 피싱 캠페인을 발견했습니다.

공격자는 스크린샷이 첨부된 이메일을 보내며, 이 이메일을 열면 멀웨어를 다운로드하고 실행하는 매크로가 실행됩니다. 이 이메일은 회사 IT 부서에서 보낸 합법적인 내부 이메일로 위장되어 있기 때문에 공격자는 고위 경영진을 표적으로 삼은 것으로 보입니다.

Proofpoint에 따르면, 침해가 성공하려면 사용자가 악성 링크를 클릭하고 필터링에 성공하면 자바스크립트 파일과 상호작용하여 추가 페이로드를 다운로드하고 실행해야 합니다. 연구원들은 "조직은 최종 사용자에게 이 기법에 대해 교육하고 사용자가 의심스러운 이메일 및 기타 활동을 신고하도록 장려해야 합니다."라고 말합니다.

피싱 이메일은 수신자에게 첨부된 문서나 보고서를 검토할 것을 요청하는 긴급한 성격의 이메일입니다. 이메일은 수신자에게 버튼이나 링크를 클릭하여 문서에 액세스하도록 지시하고, 그러면 악성 코드가 수신자의 디바이스에 다운로드됩니다.

이 캠페인의 멀웨어는 원격 액세스 트로이 목마(RAT)로, 공격자가 피해자의 디바이스에 액세스하고 이를 제어할 수 있게 해줍니다. 키 입력을 캡처하고 스크린샷을 찍으며 비밀번호, 이메일, 금융 정보와 같은 민감한 데이터를 탈취할 수 있습니다.

스크린샷은 사용자 데스크톱의 JPG 스크린샷을 찍어 하드코딩된 IP 주소로 POST를 통해 원격 C2로 전송하는 간단한 유틸리티입니다. 이는 정찰 및 피해자 프로파일링 단계에서 위협 행위자를 돕습니다. 프루프포인트는 파이썬 기반, AutoIT 기반, 자바스크립트/이르판뷰 기반 변종을 포함한 여러 스크린샷터 변종을 발견했습니다. 모두 동일한 기능을 수행하며 네트워크 프로토콜도 동일합니다.

이 캠페인에서 스크린샷을 사용하는 것은 기존의 이메일 보안 솔루션으로 피싱 이메일을 탐지하고 차단하기 어렵게 만드는 새로운 수법입니다. 공격자는 표적이 된 회사의 합법적인 스크린샷을 사용하여 수신자에게 메시지가 더 신뢰할 수 있는 것처럼 보이게 함으로써 쉽게 탐지를 피할 수 있습니다.

스크린샷 코드는 MSI 패키지(SHA256: 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40) 내에 포함되어 있습니다. 이 패키지에는 IrfanView 버전 4.62의 수정되지 않은 사본인 lumina.exe와 MSI 패키지의 첫 번째 파일인 app.js가 포함되어 있습니다. 이 패키지는 데스크톱의 스크린샷을 캡처하여 JPG로 저장하는 lumina.exe와 MSI 패키지에서 실행하는 두 번째 파일인 index.js를 실행합니다.

이 글의 출처는 SCMedia의 기사입니다.

유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=gRtQZ3ljvrE

요약

기사 이름

스크린샷을 사용하여 멀웨어를 전달하는 새로운 피싱 캠페인

설명

연구원들은 의심하지 않는 피해자에게 멀웨어 페이로드를 전달하기 위해 스크린샷을 사용하는 새로운 피싱 캠페인을 발견했습니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고