새로운 피싱 공격, 구글 검색을 통해 로그인 자격 증명 노출

매일, 매달, 매년이 지날수록 사이버 공격이 사라지지 않고 있다는 것이 분명해졌습니다. 어떤 기업, 개인, 산업도 언제든지 공격받을 수 있습니다. 최근에는 건설과 같은 주요 산업을 타겟으로 한 피싱 사기가 발생하여 구글 검색을 통해 로그인 자격 증명이 노출되었습니다.

구글을 통한 피싱 사기 드러나다

Check Point Research는 블로그 게시물을 통해 주요 산업의 도난당한 로그인 자격 증명이 손상된 워드프레스 도메인에서 유출되었다고 경고했습니다. 이는 가능한 가장 공적인 포럼인 구글 검색에서 발견되었습니다.

모든 것은 사기 이메일의 제목 줄에 직원의 이름이나 직함을 포함한 이메일에서 시작되었습니다. 해당 직원들은 건설, IT, 의료, 부동산 및 제조업과 같은 산업에 속해 있었습니다. 이 이메일들은 리눅스 서버에서 유래한 Xerox/Xeros 알림을 모방했으며, Microsoft Azure에 호스팅되었습니다. 이전에 손상된 이메일 계정을 통해 스팸이 발송되었으며, 이는 메시지에 신뢰성을 더했습니다.

HTML 파일에는 삽입된 JavaScript 코드가 포함되어 이메일에 첨부되었습니다. 이들은 단 하나의 목표를 가지고 있었습니다: 비밀번호에 대한 은밀한 백그라운드 검증. 로그인 자격 증명 입력이 감지되면, 그들은 수확되어 사용자를 로그인 페이지로 유도했습니다.

“이 감염 체인은 간단하게 들릴 수 있지만, Microsoft Office 365 고급 위협 보호(ATP) 필터링을 성공적으로 우회하고 천 명 이상의 기업 직원의 자격 증명을 훔쳤습니다.”라고 Check Point는 말했습니다.

이 사이버 공격에 포함된 탈취된 웹사이트는 워드프레스 CMS에서 구축되었습니다. Check Point는 이러한 도메인이 도난당한 로그인 자격 증명을 처리하기 위한 “드롭존 서버”로 사용되었다고 설명했습니다.

로그인 자격 증명이 드롭존 서버로 전송된 후, 이는 파일에 저장되었고 구글에 의해 색인화되어 공개되었습니다. 이는 누구나 구글 검색을 통해 접근할 수 있었습니다. 그러나 이 서버들은 .XYZ 도메인과 연결되어 약 두 달 동안만 사용되었습니다.

“공격자는 기존 웹사이트의 잘 알려진 평판 때문에 자신의 인프라 대신 손상된 서버를 사용하는 것을 선호합니다.”라고 Check Point는 설명했습니다. “평판이 더 널리 알려질수록 이메일이 보안 공급자에 의해 차단되지 않을 확률이 높아집니다.”

미래를 위한 경고

발견된 증거에 따르면 이 특정 피싱 사기는 이미 한동안 존재했을 가능성이 있습니다. 지난해 8월의 이메일과 최근 발견된 사기가 비교되었으며, 두 이메일 모두 같은 JavaScript 인코딩을 가지고 있었습니다.

이는 우리가 경계를 늦추지 말아야 함을 보여줍니다. 주요 산업과 개인 또는 기업은 영향을 받을 수 있으며, 구글 및 워드프레스와 같은 기술 대기업이 관련될 수 있습니다. 인터넷과 관련하여 안전한 것은 없습니다. 항상 주의를 기울이고 정보를 보호하세요.

재택근무 트렌드가 사이버 공격 및 가짜 협업 앱의 증가로 이어진 방법에 대해 알아보려면 계속 읽어보세요.