잉카인터넷 시큐리티대응센터, 독일 기관 표적으로 하는 새로운 피싱 캠페인 발견
설치 파일은 독일어 프롬프트 사용, 독일어 사용 고객 타깃 추정
사용 웹 브라우저 내 시스템 정보, 외부 IP 주소 및 데이터 공격자 SMTP 계정으로 유출

최근 크라우드 스트라이크(CrowdStrike) 독일 법인을 사칭한 웹사이트에서 가짜 크라우드 스트라이크 크래시 리포터(CrowdStrike Crash Reporter) 설치 프로그램이 배포된 것으로 알려졌다. 크래시 리포터는 시스템 상 충돌(Crash)이 일어났을 때 이를 요약한 문서(report)를 말한다.

                           ▲크라우드 스트라이크 독일 법인을 사칭한 피싱 페이지[자료=잉카인터넷 시큐리티대응센터]

잉카인터넷 시큐리티대응센터는 보안업체 크라우드스트라이크의 발표를 인용해 이번 피싱 캠페인은 사용자가 다운로드 버튼을 클릭하면 악성 이노셋업(InnoSetup) 설치 프로그램이 포함된 ZIP 아카이브 파일을 내려받는다고 말했다.

해당 설치 프로그램이 설치를 시작하면 백엔드 서버를 입력하라는 메시지가 보이고 특정 입력을 하지 못하면 오류 메시지가 표시되어 설치가 완료되지 않는다. 이 같은 방법을 통해 설치 프로그램 콘텐츠를 암호화하고, 암호 없이는 추가 활동이 발생하지 않도록 함으로써 추가 분석이 불가능하도록 만들었다고 덧붙였다. 또한 독일어 프롬프트가 사용된 것으로 보아 독일어를 사용하는 크라우드 스트라이크 고객만을 공격 타깃으로 삼고 있음을 추측할 수 있다고 전했다.

잉카인터넷 시큐리티대응센터는 “최종으로 악성 이노셋업 설치 프로그램이 설치되면 해당 컴퓨터 내 다양한 웹 브라우저에서 시스템 정보, 외부 IP 주소 및 데이터를 수집해 공격자의 SMTP 계정으로 유출시킨다”고 설명했다.

한편 이번 피싱 캠페인과 관련해 크라우드 스트라이크 측은 “해당 캠페인의 설치 프로그램이 암호로 보호되어 있고, 대상 엔터티에게만 알려진 입력이 필요하다는 사실 때문에 매우 타깃팅 된 공격으로 확인된다”고 언급했다.

[출처 : 보안뉴스]