PHP 프로그래밍 언어로 쓰여진 새로운 윈도 정보 탈취 멀웨어가 페이스북 계정, 브라우저 데이터, 암호화폐 지갑을 노리고 있는 것으로 확인됐다.
보안 전문 매체 블리핑컴퓨터는 16일(현지시간) 새로운 '덕테일(Ducktail)'이라는 이름의 피싱이 지난 7월 위드시큐어의 연구원에 의해 발견됐다고 보도했다.
덕테일 피싱은 링크드인을 통한 사회 공학 공격에 기반해 마케팅 프로젝트에 대한 세부 사항을 포함한 PDF 문서로 가장해 .NET Core 멀웨어를 유포했다.
멀웨어는 페이스북 비즈니스 계정 데이터를 중심으로 브라우저에 저장된 정보를 주 표적으로 삼아, C2 서버 역할을 하는 프라이빗 텔레그램 채널로 유출했다. 도난당한 자격 증명은 금융 사기 또는 악의적인 광고를 하는데 사용된다.
이번 덕테일 피싱은 이전에 사용해왔던 오래된 NET 코어 정보 도용 멀웨어에서 새로운 PHP로 작성된 멀웨어로 대체했다.
덕테일 피싱은 대부분 게임, 자막 파일, 성인용 동영상, MS 오피스 응용 프로그램을 미끼로 사용한다. 해당 프로그램은 합법적인 파일 호스팅 서비스에 ZIP 형식으로 호스팅된다.
이를 실행하면 사용자가 프론트엔드에 가짜 '응용프로그램 호환성 확인' 팝업을 보고 설치를 기다리는 동안 백그라운드에서 악성프로그램 설치가 이뤄진다.
탈취자의 코드는 난독화된 PHP 스크립트로 디스크를 건드리지 않고 메모리에서 직접 해독돼 탐지 가능성을 최소화한다.
타겟이 되는 데이터는 광범위한 페이스북 계정 세부 정보, 브라우저에 저장된 민감한 데이터, 브라우저 쿠키, 암호화폐 지갑 및 계정 정보, 기본 시스템 데이터 등이 포함됐다.
관련기사
- NFT 5억원 어치 털린 프리민트 "피해액 보상·보안 회사 인수"2022.07.21
- 블록체인협회, 웹 해킹·송금 사기 방지 도구 제공2022.06.22
- 카톡 계정정보 노린 '코인 거래소 사칭' 피싱메일 발견2022.04.16
- 외교·안보·국방 분야 종사자 노린 북한발 해킹 시도 포착2022.02.23
수집된 정보는 텔레그램으로 더는 유출되지 않으며, 기기 내에서 사기를 치기 위해 필요한 계정 토큰과 데이터를 호스팅하는 JSON 웹사이트에 저장되는 것으로 알려졌다.
블리핑컴퓨터는 회사의 재무 또는 마케팅 부서 직원을 대상으로 했던 덕테일 피싱이 이번에는 일반 페이스북 사용자까지 대상층을 확대했다며 사용자에게 주의를 당부했다.