* 출처는 안랩입니다.

안랩 ASEC 분석팀이 2023년 2월 19일부터 2월 25일까지 발생한 피싱(Phishing) 메일 공격을 모니터링했다. 

피싱은 특정 기관이나 기업, 개인 등을 사칭한 공격자가 이메일을 통해 악성코드를 유포하고, 사용자의 계정 정보를 유출하기 위한 속임수라고 할 수 있다. 해당 기간 동안 확인된 피싱 공격 사례와 이를 유형별로 분류한 통계 정보, 그리고 주의해야 할 키워드도 함께 살펴보자. 참고로, 이번 글에서는 첨부파일을 포함한 이메일만 피싱 메일로 분류했다.

모니터링 결과, 가짜 페이지(FakePage, 68%)로 연결되는 메일이 가장 높은 비중을 차지했다. 가짜 페이지는 공격자가 로그인 및 광고성 페이지의 화면 구성과 로고, 폰트를 그대로 모방한 것으로, 사용자의 로그인을 유도한다. 이때 입력된 계정 정보는 공격자 C2 서버로 전송된다.

인포스틸러(InfoStealer) 악성코드를 포함한 피싱 메일이 26%로 그 뒤를 이었다. 정보 탈취형 악성코드로도 불리는 인포스틸러는 에이전트테슬라(AgentTesla), 폼북(FormBook) 등을 포함한다. 이들은 웹 브라우저나 메일, 파일 전송 프로토콜(File Transfer Protocol, FTP) 클라이언트 등에 저장된 사용자 정보를 유출한다.

3번째로 가장 많이 발견된 피싱 이메일은 스모크로더(SmokeLoader), 구로더(GuLoader) 등 다운로더(Downloader) 악성코드를 유포한 것으로 나타났다. 이 외에도, 트로이목마(Trojan), 취약점(Exploit), 웜(Worm) 등이 각각 9%, 2%, 1%를 차지했다. 

[그림 1] 2023년 2월 19일~2023년 2월 25일 발생한 피싱 공격의 유형별 통계 정보

그렇다면 공격자는 사용자를 속이기 위해 어떤 확장자를 사용했을까? 이번에는 ZIP, R00, RAR, R01, R17, GZ, DAA, XZ, Z, ACE, LZH 등 11가지 유형의 압축 파일 확장자가 사용됐다. 특히 인포스틸러 및 다운로더 악성코드는 IMG 디스크 이미지 파일, DOCX, PDF 문서 파일 등으로 위장해 메일 본문에 첨부됐다. 가짜 페이지의 경우, 웹 브라우저로 실행돼야 하는 HTML, HTM, SHTML과 같은 웹 페이지 스크립트 문서로 유포됐다.

[그림 2] 피싱 메일 첨부파일 확장자 통계 정보 

가짜 로그인 페이지, 인포스틸러, 다운로더 악성코드를 포함한 피싱 메일 제목과 첨부파일을 정리하면 다음과 같다.

[그림 3] 가짜 로그인 페이지로 연결되는 피싱 메일 제목과 첨부파일

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33246&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=959