사이버 보안 연구원들은 이메일 방어 및 바이러스 백신 소프트웨어의 탐지를 회피하기 위해 손상된 Microsoft Office 문서 및 ZIP 파일을 이용하는 새로운 피싱 캠페인을 조사하고 있습니다. 적어도 2024년 8월부터 활성화된 이 공격 전략을 사용하면 악성 이메일이 스팸 필터를 우회하고 사용자에게 직접 도달할 수 있습니다.
사이버 보안 전문가들이 손상된 파일을 사용하는 새로운 피싱 전술을 발견했습니다
캠페인은 의도적으로 손상된 첨부 파일이 포함된 이메일을 보내는 방식으로 운영됩니다. 손상된 상태로 인해 보안 도구가 이러한 파일을 효과적으로 검사할 수 없게 되어 궁극적으로 바이러스 백신 경고를 우회할 수 있게 됩니다. ANY.RUN에 따르면 이 악성코드는 Microsoft Word 및 WinRAR과 같은 프로그램에 내장된 복구 기능을 활용하여 즉각적인 보안 경고를 표시하지 않고 손상된 파일을 열 수 있도록 합니다.
이메일은 종종 오해의 소지가 있는 혜택을 약속하여 수신자를 직원 보너스 및 HR 알림과 관련된 주장으로 유인합니다. 악성 문서에는 피해자를 사기성 웹사이트로 리디렉션하는 QR 코드가 포함되어 있어 자격 증명 도용이나 악성 코드 설치로 이어질 수 있습니다. 보안 검사에 따르면 첨부 파일이 VirusTotal과 같은 서비스에 업로드되면 일반적으로 악성 콘텐츠에 대한 경고가 생성되지 않아 탐지 노력이 더욱 복잡해집니다.
이 전략은 자동화된 보안 검색을 우회할 수 있을 만큼 손상되었으면서도 사용자가 열 수 있을 만큼 액세스할 수 있는 문서를 제작함으로써 독특한 문제를 제기합니다. 약속된 직원 보너스와 혜택을 미끼로 영리하게 사용하면 직장 교육의 취약점이 노출되고 조직이 보안 인식 프로그램을 강화해야 할 필요성이 강조됩니다. 이러한 교육은 직원이 잘 만들어진 계획을 인식하고 피해자가 되는 것을 방지하는 데 도움이 되도록 이와 같은 특정 위협을 해결해야 합니다.
기록에 따르면 이 피싱 캠페인에 사용된 방법론이 완전히 새로운 것은 아닙니다. 과거의 공격에서도 유사한 전술이 나타났으며, 악의적인 행위자는 겉으로는 무해해 보이는 파일 내에 악성 코드를 숨기는 고유한 방법을 찾는 경우가 많습니다. 매크로 포함 문서 및 다중 언어 파일과 같은 기술은 공격자가 탐지를 피하기 위해 비정통적인 방법을 활용하는 광범위한 추세를 강조합니다.
이 캠페인의 손상된 첨부 파일은 많은 조직에서 보안 테스트를 위해 사용하는 샌드박스 환경을 우회하도록 특별히 설계되었습니다. 이러한 환경은 손상을 간과할 수 있는 파일 구조에 의존합니다. 따라서 사용자가 문서를 복구하려고 시도하면 자신도 모르게 악성 프로그램이 실행됩니다.
많은 이메일 서비스에서 고급 필터링 기술을 사용하고 있음에도 불구하고 캠페인은 이러한 시스템 내에 여전히 격차가 있음을 보여줍니다. ANY.RUN은 파일이 악성으로 표시되지 않고 작동하더라도 이러한 유형의 손상된 파일을 탐지하는 상호작용이 필수적이라고 강조합니다. 보안 솔루션은 QR 코드를 효과적으로 처리하는 데 어려움을 겪고 있으며, 이러한 전술의 조합으로 인해 사용자의 위험이 가중되는 경우가 많습니다.
QR 코드의 인기가 높아짐에 따라 많은 공격자들은 악의적인 의도를 더욱 모호하게 하기 위해 이러한 코드 내에 링크를 삽입하고 있습니다.
주요 이미지 출처: Microsoft
이 순진해 보이는 Word 문서에는 위험한 비밀이 숨겨져 있다는 게시물이 TechBriefly에 처음 게재되었습니다.
