Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향새로운 피싱 공격은 모스 부호를 사용하여 악의적인 URL을 숨긴다
작성일 2021-02-08 조회 70

모스 식 부호

 

 

새로운 표적 피싱 캠페인은 모스 부호를 사용하여 이메일 첨부 파일에 악의적인 URL을 숨기는 새로운 난독화 기법을 포함한다.

 

Samuel Morse와 Alfred Vail은 전신을 통해 메시지를 전송하는 방법으로 모스 부호를 발명했다. 모스 부호를 사용할 때, 각 문자와 숫자는 일련의 점(짧은 소리)과 대시(긴 소리)로 인코딩된다.

 

지난주부터 한 위협 행위자가 모스 부호를 이용해 피싱 형태로 악성 URL을 숨겨 보안 메일 게이트웨이와 메일 필터를 우회하기 시작했다.

 

 

소설 모스 부호 피싱 공격

 

피싱 공격은 'Revenue_payment_invoice February_Wednesday 02/03/2021'과 같이 회사의 송장인 것처럼 가장한 이메일로 시작된다.

 

 

피싱 이메일

[그림1. 피싱 이메일]

 

 

이 이메일에는 회사의 Excel 송장으로 보이는 HTML 첨부 파일이 포함되어 있다. 이러한 첨부 파일의 이름은 '[company_name]_invoice_[number]_xlsx.hTML.' 형식으로 지정된다.

 

텍스트 편집기에서 첨부 파일을 보면 문자와 숫자를 모스 부호에 매핑하는 JavaScript가 포함되어 있음을 알 수 있다. 예를 들어, 문자 'a'는 아래 그림과 같이 '.'에 매핑되고 문자 'b'는 '-...'에 매핑된다.

 

 

소스 코드 HTML 피싱 첨부 파일

[그림2. 피싱 첨부 파일]

 

 

그런 다음 스크립트는 decodeMorse() 함수를 호출하여 모스 부호 문자열을 16진수 문자열로 디코딩한다. 이 16진수 문자열은 HTML 페이지에 삽입되는 JavaScript 태그로 추가로 디코딩된다.

 

 

디코딩 된 자바 스크립트 태그

[그림3. 디코딩된 JavaScript 태그]

 

 

HTML 첨부 파일과 결합된 이러한 삽입된 스크립트에는 로그인 시간이 초과되었음을 알리고 암호를 다시 입력하라는 메시지를 표시하는 가짜 Excel 스프레드시트를 렌더링하는 데 필요한 다양한 리소스가 포함되어 있다.

 

 

HTML attachment displaying the phishing login form

[그림4. 피싱 로그인 양식을 표시하는 HTML 첨부 파일]

 

 

사용자가 암호를 입력하면 공격자가 로그인 자격 증명을 수집할 수 있는 원격 사이트에 암호가 제출된다.

 

이 캠페인은 위협 행위자가 logo.clearbit.com 서비스를 사용하여 수신자의 회사 로고를 로그인 양식에 삽입하여 보다 설득력 있게 만드는 등 표적 공격이다. 로고를 사용할 수 없는 경우 위의 이미지와 같이 일반 Office 365 로고를 사용한다.

 

BleepingComputer는 SGS, Dimensional, Metrohm, SBI(Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, Capital Four 등 11개의 피싱 공격을 목표로 한 회사를 보았다.

 

메일 게이트웨이가 악성 이메일을 탐지하는 능력이 향상됨에 따라 피싱 사기는 갈수록 복잡해지고 있다. 따라서 모든 사람은 정보를 제출하기 전에 URL과 첨부 파일 이름에 주의를 기울여야 하며, 의심스러운 점이 있는 경우 수신자는 네트워크 관리자에게 문의하여 추가로 조사해야 한다.

 

이 피싱 이메일은 이중 확장자(xlx 및 HTML)가 있는 첨부 파일을 사용하므로 의심스러운 첨부 파일을 쉽게 찾을 수 있도록 Windows 파일 확장명이 활성화되어 있는지 확인하는 것이 중요하다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/

첨부파일 첨부파일이 없습니다.
태그 표적 피싱 공격