보안정보

글로벌 정보보안 리더 윈스

실시간으로 피싱 페이지를 만들어주는 도구 발견되다

침해사고분석팀 2021.01.29

한 사이버 범죄 단체가 피싱 페이지의 UI를 실시간으로 변경하여 대상 피해자에게 접근할 수 있는 ToolKit을 개발했다.

 

이 Tool의 이름은 LogoKit이며 인터넷 상에 배포된 것을 RiskIQ intelligence 가 알렸으며 현재 지속적인 추적을 진행중이라고 밝혔다. 이를 통해 지난 한 주 동안 300개 이상, 한 달로 계산하면 700개 가량의 LogoKit으로 만들어진 페이지를 발견했다.

 

LogoKit은 이메일을 통해 피싱링크를 보내고 있으며 피해자가 제공받은 URL로 접속 시 LogoKit는 대표적인 기업들의 회사 로고들을 가져온다. RiskIQ의 보안 연구원인 Adam Castleman는 "피해자의 이메일, 사용자 이름 필드부분이 자동으로 입력되어 있어 이전에 접속했던 페이지 인것처럼 속인다."고 언급했다. 피해자가 속아서 비밀번호를 입력하게 되면 LogoKit는 AJAX 요청을 통해 정보들을 외부로 전송하고 정상적인 페이지로 Redirection 시킨다.

 


[그림1. LogoKit으로 만들어진 피싱 페이지]

 

 

 

Castleman는 LogoKit가 여러 컨텐츠들을 손쉽게 추가될 수 있도록 embeddable한 Javascript를 이용한다고 했으며 이는 인증 페이지를 똑같이 모방하는 픽셀 단위 템플릿과는 다르다고 했다. "Kit의 모듈화를 통해 공격자는 복잡한 과정을 거치지 않고 짧은 시간안에 원하는 회사를 공략해 수십, 수백 건의 공격을 가할 수 있다."고 추가적으로 언급했다.

 

RiskIQ는 지난 한 달 동안 LogoKit이 일반 로그인 포털 사이트부터 시작해서 Adobe Document Cloud, OneDrive, Office365, 여러 암호 화폐 거래소 등 서비스의 로그인 페이지를 모방하고 생성하는 것을 목격했다. 게다가 JavaScript 기반으로 만들어져 Firebase, GitHub, Oracle Cloud 등과 같은 신뢰할 수 있는 서비스 내에서 호스팅, 피해자들을 속일 수 있기 때문에 주의를 요했다.

 

출처

 

https://www.zdnet.com/article/new-cybercrime-tool-can-build-phishing-pages-in-real-time/