Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향콜센터 피싱을 통해 유포되는 BazarCall
작성일 2021-04-01 조회 5429

보안 연구원들이 콜 센터를 사칭해 악성코드를 유포하는 공격을 발견했다. 해당 악성코드는 1월 말부터 발견됬으며 Bazar 로더를 설치하는데 사용됬기 때문에 BazarCall, BazaCall로 이름이 붙혀졌다.

 

대부분의 악성코드는 피싱 메일로 공격을 시작하지만 BazarCall은 새로운 방식을 사용했다. 이들은 이메일에 첨부파일 대신, 자동으로 요금이 빠져나가는 구독권이 있다고 속인 후 구독을 취소하고 싶으면 적힌 전화번호로 전화를 걸라는 내용의 메일을 보낸다. 이 후 콜 센터는 사용자에게 특수하게 조작된 웹 사이트로 안내, BazarCall 악성코드를 설치하도록 유도한다.

 


[그림1. 피싱 메일]

 

 

 

Bleeping Computer는 대부분의 이메일이 Medical Reminder Service, Inc 라는 가상회사에서 온 것이지만, 이메일에는 iMed Service, Blue Cart Service 와 같은 가짜 회사명도 사용한 것으로 확인했다. 이러한 메일들은 모두 무료 평가판이 곧 종료된다는 내용이 주를 이뤘다. 

 

내용에 있는 전화번호로 전화를 걸 시 실제 사람이 받게되며 메일에 함께 동봉된 고유한 고객 ID를 요구한다. 이는 콜 센터에서 공격 대상으로 삼은 피해자인지 확인하는 용도로 사용된다. 만약 유효한 ID일 경우 콜센터 상담원은 가짜 웹 사이트로 사용자를 안내하게 된다.

 


[그림2. 가짜 구독 해제 사이트]

 

 

 

ID를 입력 후 구독 취소 버튼을 누르게 되면 Excel 문서를 받게되며 문서 내부에는 악성 매크로가 포함되어 있다. 실행 시 악성코드(BazarCall)에 감염되는 구조다. BazarCall의 캠페인이 처음 시작됬을 때, 전용 BazarLoader를 배포했지만 최근엔 TrickBot, IceID, Gozi 등 다양한 악성코드도 함께 배포하는 것을 확인했다.

 


[그림3. 악성 문서]

 

 

 

보안 연구원인 Brad Duncan은 "이러한 Windows 감염은 악성 코드가 네트워크를 통해 데이터를 도난하거나 랜섬웨어를 배포해 회사 차원에서 큰 피해를 입을 수 있다." 고 경고했으며 재발 방지를 위해 공격자들의 실제 콜센터 사칭하는 순간을 동영상으로 공유했다.

 

출처

 

https://www.bleepingcomputer.com/news/security/bazarcall-malware-uses-malicious-call-centers-to-infect-victims/

 

https://www.youtube.com/watch?v=uAkeXCYcl4Y

첨부파일 첨부파일이 없습니다.
태그 BazarCall