해커들이 “연락처” 폼을 이용한 피싱 캠페인에서 악용하다

체크 포인트 리서치(CPR)가 ZipLine이라는 새로운 피싱 캠페인을 발견했습니다. 이것은 전통적인 사기를 역전시키는 방식으로, 피해자가 대화를 시작하도록 강요합니다.

CPR은 설명합니다 그것은 보통의 피싱 공격과 달리, 해커들이 접촉을 시작하는 것이 아니라, 이 새로운 캠페인은 회사의 “문의하기” 양식을 통해 희생자를 유인한다는 것을.

“모든 사례에서 피해자가 감염을 초래하는 이메일 교환을 시작했습니다.”라고 CPR이 말했습니다. 이 방법으로 공격자들은 합법적으로 보이는 상호작용을 만들어내어 탐지를 피하게됩니다.

해커들은 때때로 몇 주 동안 이메일 채팅을 진행하며, 비즈니스 파트너인 척하고, 심지어 기업에게 비밀유지협약(NDA) 서명을 요청하기도 합니다. 결국, 공격자들은 Heroku를 통해 악성 ZIP 파일을 보내며, 이는 정통 클라우드 플랫폼으로 작동합니다. 그러나 파일 내부에는 가짜 PDF 또는 Word 파일이 포함되어 있고, 이와 함께 은밀하게 악성 코드를 실행하는 숨겨진 바로가기 파일이 내장되어 있습니다.

그 코드는 그 후 MixShell이라는 강력한 백도어를 설치하며, 공격자가 파일을 훔치거나, 명령을 실행하거나, 심지어 피해자의 네트워크 내에서 프록시 역할을 하게 해줍니다. CPR은 “MixShell은 파일 작업, 역프록시, 명령 실행, 파이프 기반의 대화형 세션을 지원한다.”라고 밝혔습니다.

최근 사례에서, CPR은 해커들이 “AI 변형” 테마를 사용하여 회사 리더십을 위한 “AI 영향 평가”를 실행하는 척 했다고 보고했습니다. 이 이메일은 직원들에게 간단한 설문지를 작성하도록 요청하는데, CPR은 이것이 또 다른 신뢰를 구축하는 전략이라고 지적했습니다.

공격자들은 또한 오래된 미국 기업과 연결된 도메인을 사용하며, 그 중 많은 것들이 포기된 것처럼 보이지만 여전히 합법적으로 보입니다. 그들의 목표는 소규모 업체에서 포춘 500기업에 이르기까지 다양하며, 특히 제조업, 항공우주, 소비자 전자제품, 에너지 분야에서 그렇습니다.

CPR에 따르면, “이 캠페인은 고급 피싱 캠페인의 진화하는 전술을 반영한다”고 합니다. 보안 전문가들은 아무런 조치도 취하지 않은 기본 웹사이트 양식조차도 매우 심각한 사이버 공격의 문을 열 수 있다고 경고합니다.