안랩은 자동 분석 시스템 라핏(RAPIT)과 허니팟을 활용해 피싱 이메일 공격을 주기적으로 모니터링한다. 이 글에서는 올해 11월 13일~11월 19일에 확인된 피싱 이메일 공격 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 그리고 주의해야 할 새로운 유형의 피싱 이메일을 키워드와 함께 소개한다.

[그림 1]과 같이, 정보 탈취형 악성코드인 인포스틸러(InfoStealer, 29%)를 악용한 사례가 가장 많았다. 인포스틸러는 웹 브라우저나 이메일, FTP(File Transfer Protocol) 클라이언트에 저장된 사용자 정보를 유출한다.

[그림 1] 2022년 11월 13일~2022년 11월 19일 피싱 이메일 공격 현황 

스모크로더(SmokeLoader), 구로더(GuLoader) 등 다운로더 악성코드(Downloader, 28)와 가짜 로그인 페이지(FakePage, 26%)가 그 뒤를 이었다. 가짜 로그인 페이지는 공격자가 정상 로그인 페이지의 화면 구성과 로고, 폰트를 그대로 모방한 웹 페이지로, 사용자가 계정 정보를 입력하도록 유도한다. 입력된 정보는 공격자의 C2 서버(Command & Control Server)로 전송된다.

트로이목마(Trojan, 8%)와 백도어(Backdoor, 5%), 웜(Worm, 2%), 익스플로잇(Exploit, 2%)도 확인됐다. 피싱 이메일 공격에 사용된 악성코드 및 순위는 안랩이 매주 ASEC 블로그를 통해 공개하는 ‘ASEC 주간 악성코드 통계’와 거의 비슷하다. 이메일을 통한 피싱 공격이 전체 악성코드 유포에도 영향을 준다는 것을 알 수 있다.

안랩 ASEC 분석팀은 최근 피싱 이메일 공격에 많이 사용된 파일 확장자도 공개했다. 가짜 로그인 페이지는 웹 브라우저로 실행돼야 하는 웹 페이지 스크립트로, HTML, SHTML, HTM 확장자를 사용했다. 그 외 악성코드는 ZIP, R00, GZ, RAR, XZ와 같은 압축파일이나 IMG 디스크 이미지 파일, XLS 문서 파일 등 다양한 파일 확장자로 유포됐다. 

[그림 2] 피싱 이메일 공격에 사용된 파일 확장자

이번에 확인된 악성코드 유형별 유포 사례는 아래와 같다. 이 중에는 한글이 포함된 이메일 제목도 있는데, 이는 국내 사용자를 노린 것으로 추정된다.

1. 가짜 로그인 페이지

​2. 인포스틸러, 다운로더

안랩은 위 유포 사례에서 ‘지불 사본’, ‘UUE’, ‘R00’, ‘XZ’, ‘BZ2’를 대표적인 주의 키워드로 지정했다.

먼저, 제목에 ‘지불 사본’이라는 단어가 포함된 이메일은 업체 직원을 위장한 것이다. 해당 이메일에는 가짜 로그인 페이지인 Payment Copy.html 파일이 첨부돼 있다. 이 첨부파일을 실행하면 메일 사서함 로그인을 유도하는 페이지로 이동한다. 이때 사용자가 아이디, 비밀번호를 입력하면, 공격자 서버로 계정 정보가 전송된다.

참고로, 최근 발견된 발견한 가짜 로그인 페이지를 호스팅하는 C2 주소를 정리하면 다음과 같다.

Ÿ   hxxps://formspree.io/f/xwkzwzdj

​Ÿ   hxxps://submit-form.com/7Qhdye4M

​Ÿ   hxxps://vladiolitrade.ru/coc/zender.php

​Ÿ   hxxp://hybridpro.com/mailb_fix.php

​Ÿ   hxxps://multiservicon.com/wp-ra/adbn.php

Ÿ   hxxps://strofima.com/pdf.php

​Ÿ   hxxps://hoellooooo.ga/Esp/sharepoint.php

​Ÿ   hxxps://tech4herafrica.com/wp-includes/dri/Drbox001.php

​

[그림 4] 지불 사본으로 위장한 가짜 로그인 페이지 실행 시 나타나는 로그인 화면

​[그림 5] UUE 파일이 첨부된 피싱 이메일

​[그림 6] RAR 압축 파일 확장명을 숨긴 에이전트테슬라 악성코드