호텔 고객을 노리는 정교한 피싱 캠페인의 실체
편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai 연구원들은 호텔, 예약 사이트, 여행사를 표적으로 삼는 인포스틸러 캠페인의 추가적인 단계를 발견했습니다. 이 두 번째 단계는 사이트의 고객을 표적으로 삼습니다.
호텔을 가장한 공격자는 예약 사이트를 통해 고객에게 접근하여 신용카드를 다시 확인할 것을 촉구한 후 고객의 정보를 탈취합니다.
이러한 다단계 위협은 정교한 피싱 공격의 진화를 보여줍니다. 악성 공격자들은 의심하지 않는 표적에 무서울 정도로 정확하게 침투할 수 있는 새롭고 창의적인 방법을 찾고 있습니다.
이 블로그 게시물의 마지막 부분에는 차단 목록과 일반적인 인식을 위한 감염 징후 목록이 포함되어 있습니다.
서론
피싱은사람들이 널리 인식하고 있음에도 불구하고 여전히 방대한 사이버 위협 환경에서 가장 성공적이고 보편적인 공격 기법 중 하나입니다. 피싱 캠페인은 다양한 형태로 나타나며, 가능성 있는 새로운 매체가 등장함에 따라 진화를 거즙하고 있습니다. 피싱은 은행을 사칭한 이메일, 배달 알림을 모방한 문자 메시지, 악성 코드를 삽입한 고양이 사진 등을 통해 컴퓨터에 접속할 수 있는 모든 사람에게 영향을 미칠 수 있습니다.
가장 최근에 발견된 전달 방법 중 하나는 온라인 예약 서비스를 통해 호텔 업계를 노리는 정교한 인포스틸러입니다. 악성 공격자는 ‘호텔에서 결제’ 옵션을 선택해 예약을 요청하고, 실행 가능한 인포스틸러인 ‘사진’의 링크가 포함되어 진짜인 것처럼 보이는 긴급 이메일을 호텔에 보냅니다.
이는 호텔을 겨냥한 특정 버전이지만, SecOps 팀은 이 정교한 피싱 캠페인의 두 번째 단계가 이러한 사이트의 정상적인 고객을 대상으로 삼고 있음을 탐지했습니다.
이제 휴가 여행 시즌이다가오는 만큼, 이러한 피싱 수법을 특히 경계해야 합니다. 이 블로그 게시물에서는 관찰된 몇 가지 사항을 자세히 설명하고 안전한 온라인 생활을 위한 권장 사항을 공유합니다.
공격 체인
공격 체인은 인포스틸러 실행, 피해자에게 연락, 피해자 낚기의 세 단계로 구성됩니다.
1단계: 인포스틸러 실행
원래 표적(호텔)에서 인포스틸러가 실행되면 공격자가 정상적인 고객과의 메시징에 접속할 수 있습니다. 불법적이거나 사기성 상호 작용을 방지하기 위해 고객에게 사이트 내의 다양한 메시징 플랫폼과 같은 공식적이고 알려진 통신 수단만 이용할 것을 권장하는 경우가 많습니다. 안타깝게도 공격자가 이러한 방법에 접속할 수 있게 되면서 이러한 조언은 무의미해졌습니다.
2단계: 피해자에게 연락
이제 공격자가 직접적이고 신뢰할 수 있는 접속 권한을 갖게 되었으므로 의도한 피해자에게 메시지를 전송합니다(그림 1). 이 메시지는 긴급하고 즉각적인 조치가 필요하며 공포심을 유발하는 일반적인 피싱 수법을 따릅니다. 실제 호텔 고객과의 상호 작용을 모델로 전문적으로 작성되어 수신자에게 더욱 신뢰를 줍니다.
이러한 메시지는 예약 사이트의 메시지 플랫폼 자체에서 발송된다는 점을 기억해야 합니다. 발신자를 알 수 없는 이메일이라면 무시할 가능성이 높지만, 예약 사이트 자체에서 보낸 다이렉트 메시지이므로 정상적이고 신뢰할 수 있는 것처럼 보입니다. 공격자는 다수의 캠페인에서 지속성과 확산 가능성을 보여줍니다(그림 2).
그림 1: 예약 플랫폼을 통해 의도된 피해자에게 전송된 불법 메시지
그림 2: 공격자 IP와 악성 URL과의 관계를 보여주는 연결 맵
3단계: 피해자 낚기
메시지에는 ‘예약 취소를 방지하기 위한 추가적인 카드 인증’이라고 하는 불법 링크가 포함되어 있습니다. 피해자는 예약을 유지하고 싶은 마음에 메시지에 명시된 약관에 동의하고 링크를 클릭합니다. 이 링크는 피해자의 머신에서 복잡한 자바스크립트 Base64 스크립트로 인코딩된 실행 파일을 트리거합니다(그림 3).
그림 3: 악성 링크를 클릭한 후 피해자의 머신에 다운로드된 자바스크립트 Base64로 인코딩된 스크립트
정교한 난독화 기법
다운로드된 스크립트는 피해자의 정보를 탐지하며, 보안 애널리스트가 분석하거나 이해하기 어렵도록 설계되었습니다.난독화 기법을 통해 배후의 공격자가 얼마나 정교한지 알 수 있습니다.
스크립트는 사용자의 브라우저 기능 및 속성을 확인하는 등 다양한 기술을 사용해 정보를 수집합니다. 그런 다음 데이터 오브젝트를 생성하고 POST 요청을 사용해 데이터를 서버로 전송하려고 시도하는 것으로 보입니다. 리디렉션 경로를 결정하는 자바스크립트 로직의 일부를 살펴보겠습니다.
- 첫 번째 부분은 두 개의 매개 변수(_0x372138 및 _0x55e2f4)를 사용하는 자체 호출 함수입니다. 여기에는 트라이 캐치 블록 내부에 복잡한 수학적 계산이 포함된 루프가 포함되어 있습니다. 조건 !![] (항상 참)이 충족될 때까지 계속 실행되며, 이는 무한히 실행됨을 의미합니다. 그러면 첫 번째 매개변수 내에서 자체 호출 함수를 사용할 수 있습니다. 이 함수는 _0x178a26 및 _0x4c868a를포함한 여러 변수를 선언하고 함수 _0x36fa19를정의합니다.
- 이 함수는 윈도우 및 문서 오브젝트의 속성 등 브라우저 환경에 대한 다양한 정보를 수집하고 이 정보를 _0x4c868a라는오브젝트에 저장합니다. 수집된 데이터에는 브라우저와 화면 등에 대한 정보가 포함됩니다(그림 3).
그림 4: 피해자의 머신에서 실행되는 자체 호출 기능
- 공격자는 분석 방지 기법으로 몇 가지 보안 유효성 검사를 추가했습니다. 클라이언트가 이러한 테스트를 통과하면 Booking.com 결제 페이지로 가장하여 사용자에게 신용카드 정보를 요청하는 피싱 사이트가 표시됩니다(그림 4).
그림 5: Booking.com을 모방한 피싱 사이트
- 공격자는 피싱 사기의 신뢰성을 높이기 위해 스마트 채팅 지원 채널도 구축했습니다.
위험 신호
긴급한 메시지: 피싱 메시지는 종종 잘못된 긴박감을 조성해 수신자가 조급하게 행동하도록 유도합니다. 이 경우 24시간 이내에 조치를 취하지 않으면 예약이 취소될 수 있다고 경고하는 메시지가 표시됩니다.
의심스러운 URL: 제공된 링크(https://booking.guest-approve[.]info/reservation/606667156)는 Booking.com의 공식 도메인이 아닙니다.
검증 팁
요청한 적이 없는 링크는 클릭하지 말 것: 아무리 정상적인 메시지라도 요청하지 않은 메시지의 링크는 클릭하지 않는 것이 가장 좋습니다.
회사에 직접 문의할 것: 메시지의 진위 여부를 확인하려면 메시징 플랫폼이 아닌 다른 공식 채널(예: 원래 사이트의 호텔이나 여행사에서 제공한 이메일 또는 전화번호)을 사용해 회사에 연락하세요.
긴급하거나 위협적인 메시지에 주의할 것: 긴박감을 조성하거나 즉각적인 조치를 취하지 않을 경우 부정적인 결과를 초래할 수 있다고 위협하는 메시지에 주의하세요.
URL을 다시 확인할 것: URL을 항상 면밀히 검토해 정상적인 웹 사이트와 일치하는지 확인하세요.
평판이 우수한 보안 소프트웨어 및 클라우드 서비스를 이용할 것: 최신 바이러스 백신 소프트웨어로 디바이스를 보호하세요. 고급 위협 인텔리전스를 제공하는 고품질 클라우드 보안 서비스를 활용하는 방안도 고려하세요.
결론
우리 모두는 피싱 공격을 끊임없이 경계해야 합니다. 이와 같이 정교한 사기뿐만 아니라 훨씬 더 간단한 사기에 걸려드는 이들도 있습니다.
이러한 수준의 피싱 캠페인이 항상 발생하는 것은 아닙니다. 하지만 사이버 범죄자들은 의심하지 않는 피해자를 갈취하기 위해 항상 새로운 기법을 개발하고 있습니다. 자신을 보호하는 가장 좋은 방법은 예상치 못한 메시지를 받을 때마다 주의를 기울이고 경계하는 것입니다.
감염 징후
91.215.40[.]30
91.215.40[.]22
static[.]wakkofkznmartyxa3244[.]site
booking[.]id3410894[.]com
booking[.]id90152861[.]com
booking[.]id48088277[.]date
com-id809712[.]com
booking[.]id301628951[.]date
booking[.]com-id2435142[.]info
booking[.]id61189387[.]date
booking[.]id11853502[.]date
booking[.]transaction-accept[.]info
booking[.]id60157261[.]date
booking[.]request-reservation[.]cloud
booking[.]com[.]id8535029[.]date
booking[.]check-reservation[.]info
booking[.]reservation-approve[.]info
booking[.]com[.]id17825117[.]date
booking-confirmation[.]date
booking[.]transaction-confirmation[.]info
expedia[.]id23725813[.]top
expedia-book[.]cloud
booking[.]id19045617[.]info
booking[.]id90134267[.]com
booking[.]reserved-operation[.]info
booking[.]transaction-confirm[.]com
booking[.]guest-approve[.]info
booking[.]operation-3ds[.]one
7870512[.]ngrok[.]io
booking[.]account-guest[.]com
booking[.]transaction-secure[.]info
booking-verification[.]su
98link[.]cc
booking[.]reservation-3ds[.]info
booking[.]reservation-accept[.]info
airbnb-reservation[.]cloud
booking[.]approve-reservation[.]info
booking[.]check-request[.]info
95link[.]cc
Booking[.]request-reservation[.]info
Sha256:
1076c3e6437cab5975064c1525c516e2b1707c1f0fdc5edbadd6610e6a13d275 - attacker javascript
