Proofpoint를 사칭하는 피싱 캠페인 발견돼

 

Experts spotted a phishing campaign impersonating security firm Proofpoint

 

 

사이버 범죄자들이 보안 회사인 Proofpoint를 사칭하여 피해자가 Microsoft Office 365 및 Google Gmail 크리덴셜을 넘겨주도록 속이고 있는 것으로 나타났습니다. 해당 피싱 메시지는 대출금 지불 요청을 미끼로 사용하며 "Re: Payoff Request"와 같은 제목을 사용합니다.

 

Armorblox에서는 포스팅을 통해 아래와 같이 밝혔습니다.

 

"이 이메일은 Proofpoint를 통해 보낸 보안 파일을 링크로 첨부한다고 주장합니다."

 

“피해자가 링크를 클릭할 경우, Proofpoint의 브랜딩을 스푸핑하고 다양한 이메일 서비스 로그인 링크를 포함한 스플래시 페이지로 이동됩니다. 이 공격은 Microsoft와 Google용 로그인 페이지 스푸핑을 포함하고 있었습니다.”

 

메시지에 포함된 이메일 링크를 클릭하면 피해자는 Proofpoint 브랜드를 스푸핑한 스플래시 페이지로 이동됩니다.

 

 

<이미지 출처 : https://www.armorblox.com/blog/proofpoint-credential-phishing/>

  

해당 피싱 메시지는 합법적인 개인 사용자의 이메일을 해킹하여 전송되었습니다. 발신자의 도메인(sdis34[.]fr)은 프랑스 남부의 소방서였습니다.

 

피해자가 Google 및 Office 365 버튼을 클릭할 경우, 크리덴셜을 요구하는 특수 제작된 Google 및 Microsoft 피싱 페이지로 연결됩니다.

 

해당 피싱 페이지는 2021년 4월 업데이트된 "greenleafproperties[.]co[.]uk" 도메인에서 호스팅되었습니다. 해당 URL은 현재 'cvgproperties[.]co[.]uk'로 리디렉션됩니다.

 

이 캠페인이 사용하는 주요 공격 방식은 아래와 같습니다.

 

- 사회 공학적 기법: 피해자가 신뢰할 수 있고 긴박감을 유도하기 위한 이메일 제목 및 내용을 사용합니다. 이메일이 Proofpoint에서 보낸 파일을 포함하고 있다고 주장하여 신뢰감을 쌓고, 대출 또는 기타 정보를 포함하고 있다고 주장해 긴박감을 생성합니다.

- 브랜드 사칭: 이메일과 방문 페이지 모두 Proofpoint를 스푸핑합니다. Google Workspace 및 Office 365의 로그인 페이지에서는 해당 이메일 서비스 업체의 브랜드를 스푸핑합니다.

- 기존 워크플로 복제: 이메일 공격은 파일이 온라인으로 공유될 때 이메일 알림을 표시하는 등 일상 생활에서 활용하는 워크 플로우를 그대로 복제했습니다.

- 해킹된 이메일 주소 사용: 이메일은 프랑스 소방서에 속한 한 개인의 해킹된 이메일 계정을 통해 전송되었습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124298/cyber-crime/phishing-campaign-proofpoint.html

https://www.armorblox.com/blog/proofpoint-credential-phishing/