상세 컨텐츠

본문 제목

피싱 양식을 동적으로 생성하는 새로운 피싱 킷인 LogoKit 발견

국내외 보안동향

by 알약4 2021. 1. 29. 14:11

본문

 

 

LogoKit, a new phishing kit that dynamically creates phishing forms

 

RiskIQ의 연구원들이 특정 사용자를 노리는 피싱 메시지를 동적으로 생성하는 새로운 피싱 킷을 발견했습니다.

 

LogoKit은 서비스형 피싱 모델을 구현하기 쉬운 모듈형 구조를 채택했습니다.

 

이 툴킷은 다른 것들과 다르게 임베드 가능한 Javascript 함수 세트입니다. 이 킷은 수신자의 이메일 주소를 포함하고 있는 특수 제작된 URL을 사용합니다.

 

URL은 아래와 같이 이메일을 위치 해시로써 포함합니다.

 

phishingpage[.]site/login.html#victim@company.com

 

 

<이미지 출처 : https://community.riskiq.com/article/a068810a>

 

 

LogoKit은 URL을 탐색할 때 타사 서비스(Clearbit 또는 Google의 파비콘 데이터베이스)로부터 회사 로고를 가져와 사용합니다.

 

또한 피해자가 해당 사이트에 예전에 로그인했던 것처럼 생각하도록 속이기 위해 랜딩 페이지에 피해자의 계정 또는 이메일 주소를 자동으로 채워 넣습니다.

 

피해자가 비밀번호를 입력하면, LogoKitAJAX 요청을 수행하고, 수신인의 자격 증명을 외부 소스로 전송하고, 마지막으로 이를 회사 웹사이트로 사용자를 이동시킵니다.

 

RiskIQ는 보고서를 통해 아래와 같이 언급했습니다.

 

“RiskIQ는 LogoKit이 사용자를 속이기 위해 단순한 로그인 양식을 사용하고, 다른 서비스로 위장한 더욱 복잡한 HTML 문서를 내장시킨 것을 발견했습니다. LogoKit은 단순하기 때문에 공격자는 사이트를 쉽게 해킹하여 그들의 스크립트를 주입하거나 그들 소유의 인프라를 호스팅할 수 있습니다.”
 
“일부의 경우 공격자는 정식 오브젝트 스토리지 버킷을 사용하여, 사용자가 이미 알려진 도메인 명(예: Google Firebase)을 방문하도록 하여 그들의 악의적인 본성을 숨겼습니다.”

 

RiskIQ는 지난 30일 동안 LogoKit이 사용하는 고유 도메인 700개 이상을 발견했습니다.

 

공격자들은 MS SharePoint, Adobe Document Cloud, OneDrive, Office 365, 가상화폐 교환소 등 여러 서비스를 노리고 있었습니다.

 

RiskIQ 전문가들은 일부 인스턴스에서 LogoKit이 사용자의 웹페이지 내용을 열람하거나 감시하기 위해 키보드 단축키를 사용하지 못하게 한 것을 발견했습니다.

 

전문가들은 LogoKit의 규모가 매우 작고, 해킹된 사이트에서 호스팅될 수 있기 때문에 공격자가 JavaScript 파일 모음 및 리소스를 Firebase, GitHub, Oracle Cloud 등 신뢰할 수 있는 공개 서비스에 호스팅할 수 있다고 밝혔습니다.

 

“LogoKit은 공격자에게 기존 템플릿에 쉽게 통합하거나 기업 로그인 포털을 모방한 간단한 로그인 양식을 생성하도록 합니다. 또한 해킹된 인프라, 공격자가 운영하는 인프라, 오브젝트 스토리지 등 여러 방법을 유연히 활용하여 전달 출처를 빠르게 변경할 수 있게 됩니다.”

 

“LogoKitURL 당 단일 이메일을 사용하고, 회사 로고를 추출하기 때문에 조직을 노리는 타깃 공격을 쉽게 실행할 수 있습니다. 또한 템플릿을 변경하지 않고도 재사용할 수 있습니다.”

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/113961/cyber-crime/logokit-phishing-kit.html

https://community.riskiq.com/article/a068810a

 

관련글 더보기

댓글 영역