주의하세요! 실시간 이메일 검증으로 더욱 교묘해지는 피싱 공격

사이버 범죄자들은 신원 정보 도용에 대한 우려스러운 새로운 수법으로 기준을 높이고 있습니다. 실시간 이메일 검증을 통해 피싱 공격을 더욱 효율적이고 탐지하기 어렵게 만드는 것입니다. 코펜스(Cofense) 연구원들은 이러한 진화하는 전술을 파악하고 이를 "정밀 검증 피싱(precision-validating phishing)"이라고 명명했습니다. 이는 활성 상태이고 가치가 있는 것으로 확인된 이메일 주소로만 대상 목록을 좁히는 방법입니다.

넓은 그물을 던져 약간의 이득을 노리는 기존 피싱 공격과는 달리, 이 새로운 접근 방식은 정확하고 의도적입니다. 공격자는 무작위 사용자에게 사기성 로그인 페이지를 보내는 대신, 피싱 페이지에 입력된 이메일 주소가 미리 수집된 대상 데이터베이스에 있는지 먼저 확인합니다. 확인되면 피해자는 자격 증명을 훔치도록 설계된 가짜 로그인 화면을 보게 됩니다. 그렇지 않으면 위키피디아와 같은 안전한 사이트로 리디렉션되어 피싱 사이트가 자동화된 보안 스캐너의 탐지를 피할 수 있도록 합니다.

이러한 실시간 검증은 API 또는 JavaScript 기반 이메일 검증 도구를 피싱 키트에 내장함으로써 가능합니다. 그 결과, 더 높은 품질의 도난 데이터, 낭비되는 노력 감소, 그리고 사이버 보안 도구가 탐지하고 차단하기 더욱 어려운 피싱 캠페인이 가능해집니다.

최대 효과를 위한 피해자 필터링

코펜스는 이러한 기법이 실제 사용 중인 계정의 자격 증명을 훔칠 가능성을 높일 뿐만 아니라, 악성 웹사이트를 탐지하도록 설계된 자동화된 샌드박스와 크롤러 도구의 작동을 복잡하게 만든다고 경고합니다. 이러한 시스템은 종종 유효성 검사를 통과하지 못하여 피싱 페이지가 더 오래 활성화되어 의심스러운 페이지로 표시되지 않도록 합니다.

이러한 수준의 필터링은 위협 행위자에게 큰 이점을 제공합니다. 검증된 대상을 집중 공략함으로써 노출 위험을 줄이고 투자 수익률을 높입니다. 또한 이 전술은 피싱 캠페인의 수명을 연장하여 방어자가 대응하기 어렵게 만듭니다.

파일 삭제 피싱 사기, 두 가지 공격 방식 사용

위험을 더욱 가중시키는 것은 공격자들이 이러한 첨단 전술에 소셜 엔지니어링 전략을 접목하고 있다는 점입니다. 최근 발견된 한 캠페인은 파일 삭제 알림을 미끼로 사용합니다. 피해자는 합법적인 파일 호스팅 플랫폼인 files.fm에서 삭제 예정인 PDF 파일로 연결되는 것처럼 보이는 이메일을 받습니다. 링크를 클릭하면 실제 호스팅 서비스로 이동하여 PDF 파일로 보이는 파일에 접근할 수 있습니다.

문제는 사용자에게 미리보기 또는 다운로드 두 가지 옵션이 제공된다는 것입니다. 미리보기를 실행하면 자격 증명을 수집하기 위한 가짜 Microsoft 로그인 페이지가 열리고, 다운로드를 실행하면 Microsoft OneDrive로 위장한 실행 파일이 설치됩니다. 이 프로그램은 ConnectWise의 합법적인 원격 데스크톱 도구인 ScreenConnect로, 위협 행위자가 무단 접근을 위해 자주 악용합니다.

코펜스에 따르면, 이 공격은 사용자 행동을 조작하도록 교묘하게 설계되었습니다. 피해자는 두 가지 똑같이 위험한 선택지 중 하나를 선택해야 하며, 각 선택지는 각기 다른 방식으로 시스템 침해로 이어집니다. 이러한 이중적인 설정은 공격자가 자격 증명 도용이든 악성코드 배포든 목표를 달성하도록 보장합니다.

원격 액세스 및 비싱 전술과 혼합된 피싱

또 다른 우려스러운 사건으로, 사이버 보안 연구원들은 피싱과 전화 사기(비싱), 원격 접속 도구, 그리고 "자급자족식" 수법이 혼합된 다단계 공격 캠페인을 발견했습니다. 이 정교한 작전은 위협 행위자 그룹 Storm-1811(STAC5777로도 알려짐)과 연계되어 있습니다.

공격은 악성 PowerShell 페이로드가 포함된 Microsoft Teams 메시지로 시작됩니다. 초기 접근 권한을 획득하면 공격자는 Microsoft의 빠른 지원 기능을 사용하여 시스템을 원격으로 제어합니다. 그런 다음 TeamViewer와 같은 합법적인 소프트웨어와 함께 악성 DLL을 설치하고, 마지막으로 Node.js를 사용하여 JavaScript 기반 명령 및 제어 백도어를 배포합니다.

이러한 사건들은 오늘날 피싱 위협이 점점 더 복잡하고 창의적으로 변하고 있음을 보여줍니다. 공격자들은 기술적 정교함과 심리적 조작을 결합한 전술을 통해 기존의 방어 체계를 우회하고 신중한 사용자들까지 속이는 데 성공하고 있습니다.

최선의 방어책은 여전히 경계입니다. 조직은 이러한 새로운 위협에 대한 정보를 지속적으로 파악해야 하며, 사용자는 아무리 합법적으로 보이더라도 링크를 클릭하거나, 자격 증명을 입력하거나, 파일을 다운로드하기 전에 신중하게 생각해야 합니다.