• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

드리덱스 공격자들, 연휴 시즌 노리고 가짜 아마존 상품권 뿌려 2020.12.28

100달러짜리 상품권을 무료로 뿌리는 이블코프, 사실은 드리덱스 유포 중
드리덱스 통해 은행 크리덴셜 등 각종 민감 정보 빼앗은 뒤 다크웹에서 판매

[보안뉴스 문가용 기자] 드리덱스(Dridex) 멀웨어의 운영자들이 연말연시의 연휴 기간을 노리고 팔을 걷어붙였다. 그리고 100달러짜리 아마존 상품카드를 공짜로 준다는 대규모 피싱 캠페인을 벌이고 있다. 여기에 속으면 상품카드는커녕 뱅킹 트로이목마가 다운로드 된다.

[이미지 = utoimage]


이 가짜 상품권 캠페인은 핼러윈 기간에 처음 시작됐다고 보안 업체 사이버리즌(Cybereason)은 설명한다. 공격의 표적은 주로 미국과 유럽의 소비자들인 것으로 분석됐다. 아마존의 인기가 높은 지역이기 때문에 소비자들이 더 쉽게 속을 수 있기에 이 지역을 아마존 테마로 노린 것으로 보인다. 코로나로 인해 이 두 지역에서의 아마존 사업은 크게 성장했다.

피해자들은 주로 아마존에서 보낸 것처럼 보이는 이메일을 받았다고 한다. 아마존의 성장에 일조해주신 소비자들께 감사의 표시로 백불짜리 상품권을 나눠준다는 내용이다. 여기에는 상품권 댜운로드 링크가 걸려있기도 한데 이를 누르면 세 가지 중 한 가지 방법으로 드리덱스가 다운로드 된다. 그 방법들은 다음과 같다.

1) 악성 워드 문서 형태로 배포된다. 이 워드 파일은 여러 가지 이름을 가지고 있는데 전부 상품권이라는 키워드를 가지고 있다. 상품권을 사용하려면 콘텐츠를 활성화해야 한다는 안내가 나오는데 허용할 경우 악성 매크로가 시작된다. 악성 매크로는 난독화 처리된 VB스크립트를 실행시킨다.

2) 화면보호기 파일을 사용하여 배포한다. 파일 확장자를 바탕으로 악성 이메일을 걸러내는 이메일 보안 시스템을 우회할 때 많이 사용되는 기법이다. 공격자들은 이런 유형의 파일들을 압축 파일처럼 활용해 여러 가지 악성 요소들을 우겨넣기도 한다.

사이버리즌의 수석 위협 분석가인 아사프 다한(Assaf Dahan)은 이런 파일들은 사실상 자동 해제되는 압축 파일과 같다며 화면보호기 외에는 어떤 기능들이라도 실행할 수 있다고 설명한다. 공격자들이 예전부터 존재했었던 이런 화면보호기의 특성을 놓치지 않고 공격에 잘 활용한 것이라고 덧붙이기도 했다. 이 파일들에도 VB스크립트가 저장되어 있다고 한다.

3) 악성 링크를 이메일 본문에 삽입해서 문제의 VB스크립트를 직접 다운로드하는 방식도 사용되고 있다. 이 때 다운로드 되는 파일의 크기는 약 2MB라고 한다. 간단해 보이지만 의외로 성공률이 높고, 다른 공격자들도 자주 사용하는 방식이다. “이렇게 세 가지 전략을 구사하는 이유는, 한 가지가 실패하고 막히더라도 다른 전략으로 공격을 성공시킬 수 있다는 자신감 때문입니다.”

드리덱스는 악명 높은 뱅킹 트로이목마로 2012년부터 인터넷을 돌아다니며 피해자들을 만들어 왔다. 주로 온라인 은행 업주에 필요한 크리덴셜을 훔친다. 하지만 최근의 변종들은 다른 민감 데이터를 훔치기도 한다.

드리덱스의 운영자들은 이블코프(Evil Corp)라고 알려진 해킹 단체다. 오래 전부터 이러한 공격을 활용해 많은 돈을 벌어왔다. 훔친 은행 정보를 사용해 돈을 직접 훔치진 않지만, 다른 공격자들이 추가 범죄를 저지를 수 있도록 이러한 정보를 다크웹에서 유통한다. 그럼에도 여러 기업과 사업체들에 적잖은 피해를 일으킨 장본임들임은 부인할 수 없다.

“피해자들이 직접 입는 손실들만을 피해라고 하지 않습니다. 고객의 피해를 보상해야 하는 기업도 손해를 입고, 이러한 사건을 수사하고 조사해야 하니 사회적 비용도 만만치 않게 발생합니다.” 다한의 설명이다. 게다가 주요 장비에 드리덱스가 안착할 경우 지적재산 등 대단히 민감하고 가치가 높은 데이터가 침해될 수도 있다.

그렇다면 이러한 종류의 공격으로부터 방어를 하려면 어떻게 해야 할까? 다한은 “상식을 갖추고 욕심에 눈이 멀지 않으면 된다”고 말한다. “아마존이 왜 공짜로 소비자들에게 100달러나 주겠습니까? 세상에 그런 기업이 어디 있나요? 대가 없는 선의를 기업은 베풀지 않습니다. 그 정도는 상식으로 알고 있어야 합니다. 지나치게 좋은 건 반드시 의심해 봐야 합니다.”

이메일 주소를 확인하는 것도 기본이라고 다한은 강조한다. “물론 공격자들은 이메일 주소도 진짜처럼 바꿀 수 았습니다. 그렇지만 어딘가 오타를 내는 등 실수를 꽤 자주 합니다. 아마존 공식 이메일 주소와 본문에는 오타가 거의 없고요. 문법적 오류도 가짜 메일에서만 나타납니다. 링크를 눌렀더니 로그인 페이지가 나온다? 일단 닫아두세요.”

3줄 요약
1. 드리덱스 공격자들, 가짜 아마존 쿠폰으로 사람들 유혹 중.
2. 드리덱스는 주로 은행 관련 데이터와 각종 민감 정보 훔치는 멀웨어.
3. 기업들이 공짜로 돈을 뿌릴리 없다는 것 인지하면 방어에 도움됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>