• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글 리캡챠 페이지 똑같이 따라한 피싱 공격 발생 중 2019.02.25

거래 확인을 요청하는 이메일 보내...링크 클릭하면 악성 PHP 다운로드
PHP 파일, 화면에 리캡챠 페이지 띄우고 뒤로는 악성 파일 다운로드해

[보안뉴스 문가용 기자] 최근 구글 리캡챠(Google reCAPTCHA) 시스템을 흉내 내는 가짜 피싱 공격이 발견됐다. 주로 폴란드의 은행과 은행 고객들을 노리는 이메일 형태로 배포되는 이 공격은, 악성 PHP 파일로 연결되는 링크를 피해자들에게 전송해, 결국 뱅크봇(BankBot)이라는 멀웨어를 감염시키는 걸 목적으로 한다.

[이미지 = iclickart]


뱅크봇 멀웨어는 안드로이드 장비들에 설치되는 것으로 2016년에 처음 발견됐다. 원격에서 조작이 가능한 트로이목마의 일종으로 은행 관련 정보를 훔쳐내는 기능을 가지고 있다. 은행에서 제공하는 앱과 똑같이 생긴 외관을 가지고 있으며, 교묘한 푸시 알림 기능을 통해 다양한 악성 행위를 실시한다. 이번에 발견된 뱅크봇의 경우 전화기에 설치된 개인정보, 문자 메시지, 전화 통화 목록, 연락처 정보, 위치 정보 등을 훔쳐가는 기능을 가지고 있었다고 한다.

이 공격을 발견한 보안 업체 수쿠리(Sucuri)의 루크 리크(Luke Leak)는 “폴란드의 한 은행을 표적으로 삼아 악성 파일을 퍼트리고 있는 피싱 공격에 대한 조사를 시작했다”고 밝히며, “분석 결과 공격자들은 은행인 척 위장해 고객들을 속이되, 공포심을 자극해 피해자들을 속인 것으로 나타났다”고 설명했다.

사용자들에게 가는 이메일은 “최근 이러이러한 거래가 진행되었으니 확인을 부탁한다”는 식의 내용으로 구성되어 있었다. 고객 입장에서는 누군가 자신의 계정으로 사기 거래를 했을까봐 서두르게 되고, 이메일에 같이 첨부된 링크를 클릭하게 된다. 하지만 클릭할 경우 시스템으로 악성 PHP 파일이 다운로드 된다.

“일반적으로 보이는 피싱 공격과는 조금 다릅니다. 왜냐하면 일반 피싱 공격은 피싱 페이지 자체를 구축하는 PHP 메일러와 파일들로 구성되어 있기 때문입니다. 주로 로그인 페이지를 진짜와 똑같이 만들 때 PHP 메일러와 파일로 페이지를 구성해내죠. PHP 파일을 직접 다운로드 하는 방식은 그리 흔한 게 아닙니다.”

악성 PHP 파일이 시스템에 안착하면, 가짜 404 오류 페이지가 화면에 뜬다. 그 후 PHP 코드가 가짜 구글 리캡챠 페이지를 띄우는데, 이 때 HTML과 자바스크립트가 함께 사용된다. (리캡챠란 구글의 인증 방식 중 하나로, 주로 사람과 봇을 구분하는 데 사용된다.) “리캡챠 페이지는 구글의 그것과 거의 똑같습니다. 그래서 속기 쉽습니다.”

다만 진짜 리캡챠와 다른 것이 하나 있다. 바로 인증에 사용되는 이미지들이 항상 같다는 것이다. “또한 실제 리캡챠의 오디오 리플레이 기능이 지원되지도 않습니다.”

사용자가 리캡챠를 들여다보는 동안 이 악성 PHP 코드는 시스템을 점검해 어떤 악성 파일을 추가로 다운로드 받을지 결정한다. 안드로이드 시스템에서는 .apk 파일을 받고, 그렇지 않을 경우는 .zip 파일을 받는다. 어떤 유형이든 결국 ‘다운로더’의 일종이며, 실행되었을 경우 뱅크봇이 설치된다. 뱅크봇은 바이러스토탈에서 뱅커(Banker)나 아르테미스(Artemis)라는 이름으로도 등록되어 있다.

뱅크봇을 분석한 보안 업체 이셋(ESET)은 “2017년 초 뱅크봇이 덧입혀진 앱들이 구글 플레이에서 유통되고 있는 것을 발견했고, 분석한 결과 2016년 12월 지하 해커 포럼에서 공개된 소스코드로부터 만들어진 것임을 확인했다”고 밝힌 바 있다. 즉 뱅크봇을 구성하는 소스코드가 이미 사이버 공격자들 사이에서 널리 퍼진 것이며, 따라서 여기에 뿌리를 둔 멀웨어들이 앞으로도 계속 등장할 가능성이 높다는 것이다.

지난 한 해 동안 피싱 수법은 계속해서 영악해졌다. 악성 행위자들은 지속적으로 전략을 발전시켰으며, 속이기 위한 기술력을 높여왔다. 얼마 전에는 구글 번역(Google Translate) 페이지를 활용하거나, 커스텀 폰트를 활용한 피싱 공격이 발견되기도 했다.

3줄 요약
1. 폴란드 은행과 그 고객을 노리는 특수한 피싱 공격 발견됨.
2. 구글의 리캡챠 페이지를 띄워 피해자의 시선을 뺏은 뒤, 뒤로 멀웨어 추가 설치.
3. 최종 페이로드는 뱅크봇의 일종. 뱅크봇 소스코드가 해커들 사이에서 풀린 상태라, 앞으로도 응용 공격이 이어질 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>