잉카인터넷 시큐리티대응센터 블로그

최근 플랫폼 주소 설정을 악용해 가짜 구매 알림을 보내 사용자를 속이는 PayPal 피싱 캠페인이 발견됐다. 외신은 해당 메일에 MacBook M4의 배송 주소가 변경되었다는 메세지와 해당 내용을 승인하지 않으셨을 경우 동봉된 PayPal 번호로 전화하라는 내용이 포함되어 있다고 전했다. 이때, 이메일 수신자가 PayPal 지원 부서의 전화번호로 전화하면 담당자인 척 대응하며, 계정이 해킹 당했으니 특정 소프트웨어를 다운로드하도록 유도한다고 말했다. 이후, 제공한 서비스 코드를 입력하도록 안내하고 이를 실행하면 사용자의 컴퓨터에 원격 접근해 은행 계좌에서 돈을 훔치거나 데이터를 탈취한다고 밝혔다. 외신은 합법적인 PayPal 이메일 주소로 피싱 메일이 전송되기 때문에 보안 및 스팸 필터를 우회한다고 덧붙..

Google Play 스토어에서 금융 관리 앱으로 위장한 안드로이드 악성코드 "SpyLend"가 발견됐다. 사용자가 앱을 실행할 때, 기기의 위치가 인도로 확인되면 앱의 UI를 수정해 공격할 준비를 한다. 이후, 사용자에게 대출 신청을 추천하면서 WebView로 가짜 대출 신청서를 보여주고, 공격자가 준비한 외부 사이트로 리다이렉션해 악성 APK 파일을 다운로드하도록 유도한다. 설치된 APK 파일은 카메라와 통화 기록 및 외부 저장소 등의 접근 권한을 요청하며, 이를 악용해 무단 촬영과 감시 및 데이터 유출과 같은 공격을 수행한다. 보안 업체 CYFIRMA 측은 기기에 저장된 사진을 조작해 딥페이크 사진을 만들어 사용자에게 돈을 요구하거나 탈취한 개인정보를 악용할 수 있다고 언급했다. 이에 대해 신뢰할 ..

보안 업체 Orange가 2024년 6월에서 10월 사이 유럽 의료 기관을 표적으로 하는 새로운 NailaoLocker 랜섬웨어에 대해 보고했다. NailaoLocker는 다른 랜섬웨어군에 비해 보안 프로세스나 실행 중인 서비스를 종료시키지 않고, 별도의 디버깅 방지 및 샌드박스 회피 메커니즘이 없어 상대적으로 단순한 랜섬웨어라고 언급했다. NailaoLocker는 합법적인 실행 파일을 포함하는 DLL 사이드로딩을 통해 사용자의 시스템에 배포된다고 말했다. 이후, 메모리 주소 검사를 수행해 환경을 확인한 다음 주요 페이로드를 해독해 메모리에 로드한다. 최종적으로, 랜섬웨어가 활성화되면 파일을 암호화하고 '.locked' 확장자를 추가해 HTML 랜섬 노트를 생성한다고 말했다. Orange는 랜섬 노트의 ..

최근 체납액 징수 관련해 정부와 공공기관을 사칭하고 사용자가 악성 앱을 설치하도록 유도하는 스미싱이 대량 발견됨에 따라 한국인터넷진흥원에서 주의를 권고했다. 한국인터넷진흥원은 공격자가 “지방세징수법”과 “관리법징수법” 등의 키워드를 활용해 스미싱을 발송한다고 언급했다. 또한, 이러한 스미싱의 다수는 말머리에 “[국제발신]” 또는 “[국외발신]” 표시가 있는 특징이 있다고 전했다. 한편, 피싱 메일은 보낸 사람의 주소가 정상 도메인 주소와 유사하거나, 한글 파일(.hwp)로 위장한 실행 파일을 첨부하기도 한다고 덧붙였다. 이에 대해 한국인터넷진흥원 측은 수신한 문자 또는 메일에 포함된 출처가 불분명한 인터넷 주소는 클릭하지 말아야 하며, 접속할 경우 정상 주소와 일치하는지 확인하라고 당부했다. 특히 접속한..

한국인터넷진흥원에서 최근 러시아-우크라이나 전쟁과 중동 분쟁 등 국제정세의 변화가 국내에 영향을 미치고 있어 관련 공지를 발표했다. 한국인터넷진흥원 측은 먼저 포트 스캐닝과 웹 취약점 등을 이용하는 랜섬웨어 감염 사례를 소개했다. 또한, 취약점 보안 패치 미적용과 기업 채용 담당자에게 전송된 이력서로 위장한 악성 파일 및 유지보수를 위해 허용한 원격 접속 등도 랜섬웨어 감염 원인이라고 전했다. 랜섬웨어에 감염되면, 공격자는 파일 암호화뿐만 아니라, 내부 민감 정보를 탈취하고 이를 공개한다는 빌미로 랜섬머니를 요구하는 이중 갈취를 한다고 설명했다. 이 외에도 국제 해킹그룹이 국내 정부와 금융기관 등을 대상으로 디도스(DDoS) 공격을 감행하는 정황을 언급했다. 이에 대해 한국인터넷진흥원은 외부 접속과 계정..

국민건강보험공단에서 국가건강점진 수검자가 집중되는 연말에 공단을 사칭한 피싱 문자가 발송될 수 있어 주의를 당부했다. 공단 측은 고객센터 번호(1577-1000)를 도용하거나 공단을 사칭한 피싱 문자가 연말에 증가한다고 언급했다. 피싱 문자는 주로 건강검진 대상자 또는 검진결과 안내를 빌미로 문자에 첨부된 악성 링크에 접속하도록 유도한다고 전했다. 사용자가 해당 링크에 접속해 모바일 기기가 감염되면서 개인정보와 금융 정보가 유출된 사례가 있다고 설명했다. 이 외에도 피싱 메일의 피해 사례도 발견됐다고 덧붙였다. 이에 대해, 국민건강보험공단 측은 검진 결과를 문자로 안내하지 않으며, 공단에서 실시하는 안내 문자에는 고객센터 번호만 명시하고 링크를 포함하지 않는다고 당부했다. 또한, 이메일의 발신자 주소가 ..

보안 업체 Kaspersky가 은행과 암호화폐 지갑을 공격 대상으로 삼는 Grandoreiro라는 뱅킹 맬웨어의 새로운 변종에 대해 보고했다. Google의 악성 광고 또는 피싱 메일로부터 공격이 시작되며, 사용자에게 ZIP 아카이브 파일을 다운로드하도록 유도한다. 해당 파일에 포함된 MSI 파일 형태의 로더는 사용자의 시스템에서 지원하는 언어와 샌드박스 환경을 확인하고 악성코드를 다운로드 후 실행한다. 이후, 호스트 정보와 IP 주소 기반의 위치 데이터 및 사용자 활동 정보를 수집하고 공격자의 C&C 서버로 전송한다. 또한, 사용자의 자격 증명을 얻어 금융 앱과 암호화폐 및 기프트 카드 등을 이용해 운반 계좌로 자금을 현금화한다. Kaspersky는 Grandoreiro가 행동 생체 인식과 머신 러닝을..

보안 업체 Kaspersky가 최근 이탈리아 사용자를 표적으로 공격하는 SambaSpy 악성코드 캠페인에 대해 보고했다. HTML 첨부 파일이나 감염 프로세스를 시작하는 내장된 링크가 포함된 피싱 이메일로부터 공격이 시작된다. 사용자가 내장된 링크를 클릭했을 때 웹 브라우저의 언어가 이탈리아어로 설정되어있는 경우에만 악성 웹 서버로 연결된다. 이때, 의도한 대상이 아닐 경우 FattureInCloud에 호스팅된 합법적인 청구서 페이지에 머물러있게 된다. 한편, 의도한 대상과 일치할 경우 호스팅된 PDF 문서로 이동하게 되고 사용자가 문서 보기로 표시되어있는 하이퍼링크를 클릭하면 다운로더가 실행된다. 다운로더는 사용자가 현재 VM 환경에서 실행 중인지 검사하고, 시스템 환경이 이탈리아어로 설정되어 있는지 ..

한국인터넷진흥원에서 추석 연휴 동안 사이버 공격에 대비할 주의사항을 공지했다. 최근, 국내 기업을 대상으로 한 랜섬웨어 침해사고와 개인을 공격 목표로 발송된 스미싱이 급증하고 있다고 언급했다. 먼저, 기업에서 탈취한 VPN 계정이나 유지보수 용도로 허용한 원격 접속을 악용하는 등의 랜섬웨어 침해사고 주요 사례를 소개했다. 이어서 공공기관이나 쇼핑몰을 사칭해 교통법규 위반 범칙금 안내와 명절 선물 무료 배송 등의 내용으로 악성 사이트 주소를 함께 발송한 스미싱 사례도 전했다. 이에 대해 한국인터넷진흥원 측은 기업에 계정 관리와 원격 접근 제어를 강화하는 등의 보안 권고 사항을 안내했다. 또한, 개인 사용자는 문자를 수신할 경우 출처가 불분명한 사이트 주소는 클릭하지 말고 문자를 삭제하라고 당부했다. 사진 ..

알려진 악성코드인 Quasar RAT의 변형을 사용해 콜롬비아의 보험 분야를 타겟으로 공격하는 캠페인이 발견됐다. 보안 업체 Zscaler ThreatLabz의 연구에 따르면 콜롬비아 세무 당국을 사칭한 피싱 이메일로부터 공격이 시작된다고 밝혔다. 공격자는 해당 이메일에 첨부된 PDF 첨부 파일 혹은 이메일 본문에 포함된 링크를 클릭하도록 유도한다. 사용자가 파일과 링크를 클릭하면 Google Drive 폴더의 ZIP 보관 파일로 연결되어, 최종 페이로드인 BlotchyQuasar라는 Quasar RAT의 변형 악성코드가 다운로드된다. 이후, BlotchyQuasar는 키 입력 기록, 셸 명령 실행 및 웹 브라우저와 FTP 클라이언트에서 데이터를 탈취한다. 또한, 콜롬비아와 에콰도르에 있는 특정 은행 및..