스페인어 사용자 피해자는 새로운 원격 액세스 트로이 목마(RAT)를 전달하는 이메일 피싱 캠페인의 표적이 되었습니다. 작은 쥐 적어도 2024년 2월부터.
사이버 보안 회사인 코펜스(Cofense)에 따르면, 이러한 공격은 주로 광업, 제조, 호텔, 공익사업 분야를 겨냥한 것으로 나타났습니다.
“맬웨어의 사용자 지정 코드 대부분은 분석 방지, 명령 및 제어 센터(C2)와의 통신, 자격 증명 모니터링 또는 수집에 한정된 초점으로 파일을 다운로드하고 실행하는 데 중점을 두고 있는 것으로 보입니다.”라고 밝혔습니다.
감염 사슬은 금융 관련 미끼가 달린 피싱 메시지부터 시작되는데, 수신자가 Google Drive에 호스팅된 7-Zip 보관 파일을 가리키는 내장된 URL을 클릭하도록 속입니다.
관찰된 다른 방법으로는 이메일에 직접 첨부하거나 다른 내장된 Google Drive 링크를 통해 다운로드한 HTML 또는 PDF 파일을 사용하는 것이 있습니다. 위협 행위자가 합법적인 서비스를 남용하는 것은 새로운 현상이 아니며, 이를 통해 보안 이메일 게이트웨이(SEG)를 우회할 수 있습니다.
Poco RAT를 전파하는 HTML 파일에는 링크가 포함되어 있는데, 이 링크를 클릭하면 맬웨어 실행 파일이 들어 있는 보관 파일을 다운로드하게 됩니다.
Cofense는 “이 전략은 단순히 맬웨어를 직접 다운로드할 수 있는 URL을 제공하는 것보다 더 효과적일 가능성이 높습니다. 내장된 URL을 탐색하는 모든 SEG는 합법적인 것으로 보이는 HTML 파일만 다운로드하여 확인하게 되기 때문입니다.”라고 말했습니다.
PDF 파일도 다르지 않은데, 여기에도 Poco RAT가 담긴 Google Drive 링크가 포함되어 있습니다.
일단 실행되면 Delphi 기반 맬웨어는 손상된 Windows 호스트에 지속성을 확립하고 C2 서버에 연결하여 추가 페이로드를 전달합니다. POCO C++ 라이브러리를 사용하기 때문에 이런 이름이 붙었습니다.
델파이가 사용되었다는 것은 캠페인의 배후에 있는 알려지지 않은 위협 행위자들이 프로그래밍 언어로 작성된 뱅킹 트로이 목마의 표적이 되는 것으로 알려진 라틴 아메리카에 초점을 맞추고 있다는 신호입니다.
이러한 연결은 C2 서버가 해당 지역에 지리적으로 위치하지 않은 감염된 컴퓨터에서 시작된 요청에는 응답하지 않는다는 사실에 의해 강화됩니다.
이러한 개발은 맬웨어 제작자가 PDF 파일에 포함된 QR 코드를 사용하여 사용자를 속여 Microsoft 365 로그인 자격 증명을 수집하도록 설계된 피싱 페이지로 이동시키는 경우가 점점 늘어나고 있기 때문에 발생했습니다.
또한 RAT와 AsyncRAT, RisePro와 같은 정보 도용 도구와 악성 소프트웨어를 전달하는 인기 있는 소프트웨어를 광고하는 사기성 사이트를 이용하는 사회 공학 캠페인도 이에 해당합니다.
비슷한 데이터 유출 공격이 인도에서도 인터넷 사용자를 표적으로 삼아 가짜 SMS 메시지를 보내 패키지 배달 실패 사실을 거짓으로 주장한 다음 제공된 링크를 클릭해 세부 정보를 업데이트하라는 내용을 보냈습니다.
SMS 피싱 캠페인은 Smishing Triad라는 중국어를 사용하는 위협 행위자에 기인한 것으로 밝혀졌으며, 이 행위자는 침해되거나 의도적으로 등록된 Apple iCloud 계정(예: “fredyma514@hlh-web.de”)을 사용하여 금융 사기를 실행하기 위한 스미싱 메시지를 보낸 전력이 있습니다.
“해커들은 6월경에 India Post를 사칭하는 도메인 이름을 등록했지만, 적극적으로 사용하지는 않았으며, 7월에 눈에 띄게 된 대규모 활동을 준비한 것 같습니다.” Resecurity가 말했습니다. “이 캠페인의 목표는 엄청난 양의 개인 식별 정보(PII)와 결제 데이터를 훔치는 것입니다.”