피싱 사기가 계속 진화하는 가운데, 특히 윈도우 사용자를 표적으로 삼는 서비스형 악성코드(MaaS)의 등장은 이러한 추세를 잘 보여줍니다.마이크로소프트는 이러한 위협에 대응하기 위한 조치를 취했지만, 근본적인 사기 수법은 여전히 활발하게 활동하고 있습니다.이 정교한 사기 수법이 어떻게 작동하는지, 그리고 스스로를 보호하기 위해 어떤 조치를 취할 수 있는지 자세히 살펴보겠습니다.
서비스형 악성코드(MaaS) 피싱 사기 이해하기
피싱 사기는 일반적으로 이메일, 문자 메시지, 팝업 또는 허위 웹사이트를 이용하여 사용자를 속입니다.마이크로소프트 디펜더 전문가들이 최근에 발견한 수법은 신뢰할 수 있는 애플리케이션을 악용하여 사용자를 속여 악성 소프트웨어를 설치하도록 유도함으로써 탐지를 더욱 어렵게 만듭니다.
대부분의 경우, 윈도우는 유효한 보안 인증서가 없기 때문에 이러한 악성 프로그램을 차단하도록 설계되어 있습니다.여기서 확장 유효성 검사(EV) 인증서는 브랜드의 정당성을 보장하고 피싱 시도로부터 사용자를 보호하는 데 중요한 역할을 합니다.그러나 사기꾼들은 교묘한 우회 방법을 고안해냈습니다.
그들은 TrustConnect Software PTY LTD라는 가짜 회사를 만들어 합법적인 것처럼 위장했습니다.인공지능을 이용해 웹사이트, 긍정적인 리뷰, 고객 통계 등 완벽한 사업체 이미지를 만들어냈습니다. EV 인증서를 성공적으로 신청함으로써, 사용자와 시스템 모두에게 악성 소프트웨어가 신뢰할 만한 것처럼 보이게 만들었습니다.
이는 사기꾼들이 절도나 위조에 의존하지 않고 합법적으로 유효한 EV 인증서를 획득했다는 것을 의미합니다.결과적으로 그들이 배포하는 모든 악성 프로그램은 Windows에서 즉시 합법적인 것으로 인식됩니다.
Windows에서 앱의 인증서를 확인하려면 실행 파일을 마우스 오른쪽 버튼으로 클릭하고 속성 → 디지털 서명 → 세부 정보 → 인증서 보기 로 이동하면 됩니다.
TrustConnect가 악덕 사업가들을 위한 합법적인 사업체로 위장하면서 상황은 더욱 악화되었습니다.이들은 MaaS(Mobility as a Service) 비즈니스 모델을 채택하여 월 300달러라는 저렴한 암호화폐 구독료로 다른 사람들이 피싱 공격을 실행할 수 있도록 지원했습니다.
사용자들은 PDF 파일, 회의 초대, 그리고 악성 링크를 숨기고 있는 겉보기에는 무해해 보이는 콘텐츠가 포함된 이메일을 통해 공격을 받습니다.이러한 링크는 종종 Adobe Acrobat이나 Zoom과 같은 애플리케이션을 “업데이트”하라는 메시지를 표시합니다.사용자가 속아서 ‘업데이트’를 클릭하면 자신도 모르게 악성 소프트웨어를 설치하게 됩니다.
adobereader.exe`.php`, trustconnectagent.exe` msteams.exe.php`, zoomworkspace.clientsetup.exe`.php` 와 같은 일반적인 실행 파일은 invite.exe유효한 EV 서명을 가지고 있어 의심을 사지 않고 원활하게 실행됩니다.이로 인해 악성 프로그램은 프로그램 파일 폴더 내에 폴더를 생성하고 일반 애플리케이션처럼 시작 시 실행되어 기술에 정통한 사용자조차도 탐지하기 어렵게 만듭니다.
전기차 인증서 취소: 제한적인 해결책
EV 인증서를 취소하면 TrustConnect의 피싱 공격이 효과적으로 차단될 것이라고 생각할 수 있지만, 실제로는 더 복잡합니다.이 조치는 새로운 악성 소프트웨어가 EV 인증서를 획득하는 것을 막지만, 이전에 발급된 인증서를 소급하여 무효화하지는 않습니다.
결과적으로 이전에 인증된 악성코드도 Windows에서는 정상적인 것으로 계속 간주됩니다.따라서 사용자는 스스로를 보호하기 위한 적극적인 조치를 취해야 합니다.기업 고객이 주요 공격 대상이지만, 개인 사용자도 안전하다고 생각해서는 안 됩니다.
또한 보안 전문가들은 TrustConnect 공격자들이 유사한 전술을 사용하는 DocConnect 라는 또 다른 악성코드 변종을 개발하고 있다는 사실을 확인했습니다.
서식 지정: 권장 접근 방식
연구 결과에 따르면 악성코드를 제거하려는 시도는 처음 예상했던 것보다 훨씬 더 정교한 계층 구조를 드러내는 것으로 나타났습니다. TrustConnect의 악성코드는 감염된 시스템에 지속적으로 접근하기 위해 다양한 원격 모니터링 및 관리(RMM) 프레임워크를 설치합니다.따라서 프레임워크 하나만 제거하는 것은 필요한 작업의 극히 일부분에 불과합니다.
감염된 경우, 컴퓨터를 포맷하는 것이 악성코드를 완전히 제거하는 가장 효과적인 해결책입니다.포맷하기 전에 파일을 백업하는 것이 매우 중요합니다. Windows를 다시 설치한 후에는 백업 파일을 복원하기 전에 반드시 바이러스 검사를 철저히 실행하십시오.다행히 이 악성코드는 Windows 애플리케이션으로 위장하기 때문에 문서나 사진 파일과 연관될 가능성은 낮습니다.
기업 환경에서는 IT 관리자가 사용자가 소프트웨어 업데이트를 개별적으로 실행하지 못하도록 금지하는 것이 좋습니다.
링크를 통한 앱 업데이트 관련 주의 사항
TrustConnect는 악성코드 설치를 위해 기만적인 앱 업데이트를 사용하는 유일한 회사가 아닙니다.하지만 그들이 가진 독특한 이점은 유효한 인증서를 보유하고 있어 보안 솔루션이 그들의 활동을 탐지하기 어렵게 만들었다는 점입니다.
겉보기에 신뢰할 만한 출처에서 온 링크를 클릭했는데 앱 업데이트 메시지가 나타나면 즉시 클릭을 중단하세요.업데이트를 진행하지 마십시오.
대신, 애플리케이션을 개별적으로 실행하고 설정 또는 도움말 메뉴를 통해 업데이트를 확인하세요. Microsoft Store에서 다운로드한 앱의 경우, 업데이트는 Store에서 직접 받아야 합니다.
업데이트가 없다면 해당 링크는 악성 링크라고 확신할 수 있습니다.프로세스는 자주 변경될 수 있으므로 새 애플리케이션을 완전히 통합하기 전에 샌드박스 환경에 설치하여 안전성을 평가하는 것이 현명합니다.
예상치 못한 연결 고리를 찾기 위한 비판적 사고
피싱 사기는 앞으로도 계속 기승을 부릴 것으로 보입니다.가장 효과적인 예방책 중 하나는 예상치 못한 링크를 클릭하기 전에 반드시 의심해 보는 것입니다.최근 저는 자동차 보험료 설문조사를 제공하는 것처럼 보이는 이메일을 받았습니다.발신자가 진짜처럼 보였지만, 링크를 클릭하는 대신 보험사 웹사이트로 직접 이동했습니다.결과적으로 피싱 시도였음이 밝혀졌습니다.
링크의 신뢰성에 확신이 서지 않는다면 클릭하지 마세요.업무 관련 메시지라면 발신자로 추정되는 사람에게 직접 연락하여 확인하세요.호기심보다는 안전을 최우선으로 생각하고, 메시지에 답장하는 것은 사기꾼과 접촉하는 꼴이 되어 위험을 증가시키므로 삼가세요.
매일 새로운 피싱 수법이 등장하고 링크드인 같은 플랫폼까지 침투하는 상황에서, 최신 정보를 파악하고 경계를 늦추지 않는 것이 필수적입니다.서비스형 악성코드(MaaS)는 새로운 차원의 복잡성을 더하지만, 경각심을 갖고 주의를 기울인다면 이러한 사기를 피할 수 있습니다.
답글 남기기