아웃룩 자격 증명 탈취를 목적으로 '사이트 오버레이' 기법 사용해

Hackers use overlay screens on legitimate sites to steal Outlook credentials

 

Cofense의 연구원들이 마이크로소프트 아웃룩 자격 증명을 훔칠 목적으로 이메일 격리 정책 관련 피싱 메일을 이용하며 오버레이 스크린 기술을 사용하는 피싱 캠페인을 발견했습니다.

 

이 오버레이 스크린은 정식 웹사이트의 윗 부분에 표시되어 피해자의 자격 증명을 수집하도록 속입니다.

 

전문가들은 익명의 회사를 노린 공격을 조사하던 중 이 새로운 기술을 발견했습니다. 피싱 메시지는 피해자 회사의 기술 지원팀에서 발송한 메시지로 위장했습니다.

 

해당 이메일은 회사의 이메일 보안 서비스에서 유효한 이메일 메시지 3개를 격리시켰으며 이를 확인할 것을 요청하고 있었습니다.

 

이 메시지는 피해자의 클릭을 유도하기 위해 메시지 중 2개가 유효한 것으로 간주되며 삭제 보류 중이라고 표시하고 있었습니다.

 

“이 공격을 통해 수신자는 해당 메시지가 회사에 중요한 것으로 판단하여 확인을 위해 링크를 클릭하게 될 수 있습니다.”

 

이 이메일은 격리된 이메일을 처리하는데 실패했다고 주장하며 유효성 검증을 위해 링크를 클릭하여 확인할 것을 요구하고 있었습니다.

 

 

<이미지 출처: https://cofense.com/message-quarantine-campaign-overlying-potential/>

 

 

중요한 문서를 놓쳐 회사에 손실을 끼치지는 않을까 우려하는 직원의 두려움을 이용하는 이 소셜 엔지니어링 기술은 매우 효과적입니다.

 

전문가들은 이메일에 포함된 “Review Messages Now” 링크에 마우스를 올려두면 의심스러운 URL이 노출된다는 점을 지적했습니다.

 

링크를 클릭할 경우 직원은 회사의 정식 웹사이트로 이동되며 아웃룩 이메일 로그인 화면이 표시됩니다.

 

전문가들은 이 아웃룩 이메일 로그인 화면이 공격자가 피해자의 자격 증명 수집을 위해 실제 웹사이트의 위에 표시한 오버레이 화면인 것을 발견했습니다.

 

“추가 분석을 통해 표시되는 사이트가 실제로는 회사의 웹사이트 홈페이지 위를 덮고 있는 가짜 로그인 패널이라는 것을 발견했습니다. 유사한 화면을 표시함으로써 피해자가 익숙함을 느낄 수 있도록 했습니다. 또한 오버레이 화면 바깥 쪽에서는 피해자가 이전에 방문 및 사용했던 실제 페이지가 노출됩니다.”

 

“오버레이 화면에서는 사용자에게 회사 계정에 액세스 하기 위해 로그인이 필요하다는 메시지를 표시하려 시도합니다.”

 

이 캠페인에 사용된 각 악성 링크는 끌어올 페이지를 결정하는 특정 파라미터를 사용했으며, 가짜 로그인 페이지를 오버레이하여 표시했습니다.

 

 

  

출처:

https://securityaffairs.co/wordpress/107932/cyber-crime/phishing-outlook-credentials-overlay.html

https://cofense.com/message-quarantine-campaign-overlying-potential/