[데이터넷] “일론 머스크가 화성 탐사를 보내 드립니다”라는 메일에 속을 사람은 없을 것이라고 생각하지만, 의외로 많은 사람들이 이 같은 허무맹랑한 속임수에 넘어간다. 프루프포인트는 최근 몇 주 동안 탐지한 사회공학 기법의 사기 사례를 공개하면서 이 같은 황당한 사기에 피해자가 어떻게 속는지 설명했다.

가짜 민원인으로 위장하는 공격자

프루프포인트가 발견한 사기 메일은 ‘화성 탐사 기회의 주인공이 되셨습니다’라는 제목으로 발송됐으며, 일론 머스크의 자서전 이미지와 허위 어도비 리더 업데이트 공지 팝업창이 담긴 PDF를 첨부했다. 허위 팝업창의 다운로드 버튼은 정보 탈취형 멀웨어 레드라인 스틸러(Redline Stealer) 다운로드를 실행하는 tar.gz 파일에 연결돼 있었다.

사회공학기법의 공격은 고객 민원 담당자를 감염시켜 기업 내부로 침투하기 위해 민원인으로 위장한다. 민원인이 불만이 담긴 메일에 관련 자료를 첨부해 보내는데, 이 첨부파일에 악성코드가 숨어있다.

프루프포인트가 발견한 민원 서류로 위장한 스피어피싱에는 SVG 파일으 첨부돼 있었으며, 브라우저에서 정보를 탈취하는 펨드론스틸러(Phemedrone Stealer) 멀웨어를 활성화한다. 이 공격은 지난해 8월 패치가 배포된 WinRAR 취약점 CVE-2023-38831을 악용한다. 이 취약점의 POC 익스플로잇 코드가 깃허브에 공개돼 있어 공격에 악용되고 있다.

러시아-우크라이나 전쟁 이슈를 악용한 공격도 끊이지 않는다. 이번에 발견한 것은 우즈베키스탄 파트너로 위장한 공격자가 우크라이나 제품 수급이 어려운 상황을 이용해 공격을 이어갔다.

김선애 기자 다른기사 보기