코로나를 한창 활용하던 피싱 공격자들, 이제는 흑인 인권 보호 운동 활용 시작
정부 기관의 관련 설문조사 형태로 배포되는 피싱 메일...새 도메인 등록률도 높아져

[보안뉴스 문가용 기자] 사이버 공격자들이 또 다시 시사 문제를 들고 나타났다. 코로나를 자신들의 목적 달성을 위해 활용하더니 지금은 흑인 인권 운동인 ‘블랙 라이브즈 매터(Black Lives Matter)’다. 가짜 소식이 담긴 메일을 통해 트릭봇(TrickBot) 멀웨어를 퍼트리고 있는 상황이 스위스 보안 업체 어뷰즈(Abuse.ch)가 발견했다.


어뷰즈에 의하면 현재 사이버 공격자들은 정부 기관을 사칭해 흑인 인권 운동 및 인종차별 반대 운동과 관련된 설문 조사 메일을 대중들에게 보내고 있다고 한다. 사회 현상에 관심이 깊은 사람들을 노리는 건데, 메일 제목과 구성이 문법적으로 엉성하기 때문에 조금만 덜 성급하면 알아볼 수 있다.

외신인 블리핑컴퓨터(Bleeping Computer)가 제일 먼저 악성 첨부파일 샘플을 확보해 분석했는데, 이에 의하면 “문서를 열면 먼저 ‘편집 허용’이라는 버튼이 나타나고, 이를 클릭하면 악성 매크로가 시작돼 트릭봇(TrickBot)이 다운로드 된다”고 한다. 다운로드 되는 트릭봇은 악성 라이브러리(.dll) 형태를 가지고 있다.

트릭봇은 현재 손꼽힐만한 속도로 변하고 있는 모듈형 멀웨어로, 2016년부터 여러 곳에서 발견됐다. 처음에는 뱅킹 멀웨어였으나 시간이 지나면서 다른 멀웨어나 모듈을 추가로 다운로드 받거나 크리덴셜을 훔치는 멀웨어로 진화했다. 지금은 멀웨어 공격의 기본 사항처럼 널리 사용되고 있다.

사이버 범죄자들은 돈이 될 만한 것들이라면 재빠르게 활용하는 모습을 항상 보여 왔다. 각종 사회 현상은 물론 정치 상황과 대규모 스포츠 이벤트까지 모조리 피싱 공격 등의 소재로 활용한다. 사람들이 어떻게 해서든 생각을 덜 하도록 유도하기 위함이다. 미국의 거대 행사인 슈퍼볼이나 전 세계 축제인 월드컵은 사이버 공격의 단골 소재다. 최근 코로나도 이들의 이러한 영악한 악용 사례에서 벗어나지 못했다.

어뷰즈에 의하면 이런 사이버 범죄자들이 최근 ‘blacklives’, ‘georgefloyd’와 같은 단어가 섞인 도메인을 대량으로 등록시키고 있다고 한다. blacklivematterfund.com이나 thegeorgefloydfundation.net과 같은 가짜 도메인이 계속해서 생성되는 상황인 것이다. 이런 사이트들은 각종 사이버 공격의 좋은 발판이 된다.

지난 주말 즈음부터 whoisxmlapi.com은 blacklives나 georgefloyd라는 말이 들어간 새로운 도메인이 하루 평균 49개씩 등록되고 있다고 밝힌 바 있기도 하다. 정상적인 도메인도 있지만 아닌 것들도 있는 것으로 알려져 있다.

대형 사건이 발생하고, 이것이 사회적인 이슈가 될 때, 이제는 사이버 공격에도 경계를 해야 한다고 어뷰즈는 강조했다. 어뷰는 자사 블로그를 통해 이와 같은 사실을 알리며 “피싱 공격을 막기 위해서라도 유행하고 있는 사회 현상에 조금 더 냉정하게 접근해야 하고, 감정적으로 휘말리는 걸 경계해야 한다”고 권고했다.

3줄 요약
1. 조지 플로이드 사망 사건으로 촉발된 흑인 인권 보호 운동, 전 세계로 퍼짐.
2. 이에 피싱 공격자들도 흑인 인권 운동 이슈를 피싱 소재로 활용하기 시작.
3. 흑인 인권이나 피해자 관련 표현 섞인 새 도메인 계속해서 등록되는 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>