잉카인터넷 시큐리티대응센터 블로그

최근 플랫폼 주소 설정을 악용해 가짜 구매 알림을 보내 사용자를 속이는 PayPal 피싱 캠페인이 발견됐다. 외신은 해당 메일에 MacBook M4의 배송 주소가 변경되었다는 메세지와 해당 내용을 승인하지 않으셨을 경우 동봉된 PayPal 번호로 전화하라는 내용이 포함되어 있다고 전했다. 이때, 이메일 수신자가 PayPal 지원 부서의 전화번호로 전화하면 담당자인 척 대응하며, 계정이 해킹 당했으니 특정 소프트웨어를 다운로드하도록 유도한다고 말했다. 이후, 제공한 서비스 코드를 입력하도록 안내하고 이를 실행하면 사용자의 컴퓨터에 원격 접근해 은행 계좌에서 돈을 훔치거나 데이터를 탈취한다고 밝혔다. 외신은 합법적인 PayPal 이메일 주소로 피싱 메일이 전송되기 때문에 보안 및 스팸 필터를 우회한다고 덧붙..

Google Play 스토어에서 금융 관리 앱으로 위장한 안드로이드 악성코드 "SpyLend"가 발견됐다. 사용자가 앱을 실행할 때, 기기의 위치가 인도로 확인되면 앱의 UI를 수정해 공격할 준비를 한다. 이후, 사용자에게 대출 신청을 추천하면서 WebView로 가짜 대출 신청서를 보여주고, 공격자가 준비한 외부 사이트로 리다이렉션해 악성 APK 파일을 다운로드하도록 유도한다. 설치된 APK 파일은 카메라와 통화 기록 및 외부 저장소 등의 접근 권한을 요청하며, 이를 악용해 무단 촬영과 감시 및 데이터 유출과 같은 공격을 수행한다. 보안 업체 CYFIRMA 측은 기기에 저장된 사진을 조작해 딥페이크 사진을 만들어 사용자에게 돈을 요구하거나 탈취한 개인정보를 악용할 수 있다고 언급했다. 이에 대해 신뢰할 ..

보안 업체 Orange가 2024년 6월에서 10월 사이 유럽 의료 기관을 표적으로 하는 새로운 NailaoLocker 랜섬웨어에 대해 보고했다. NailaoLocker는 다른 랜섬웨어군에 비해 보안 프로세스나 실행 중인 서비스를 종료시키지 않고, 별도의 디버깅 방지 및 샌드박스 회피 메커니즘이 없어 상대적으로 단순한 랜섬웨어라고 언급했다. NailaoLocker는 합법적인 실행 파일을 포함하는 DLL 사이드로딩을 통해 사용자의 시스템에 배포된다고 말했다. 이후, 메모리 주소 검사를 수행해 환경을 확인한 다음 주요 페이로드를 해독해 메모리에 로드한다. 최종적으로, 랜섬웨어가 활성화되면 파일을 암호화하고 '.locked' 확장자를 추가해 HTML 랜섬 노트를 생성한다고 말했다. Orange는 랜섬 노트의 ..

최근 체납액 징수 관련해 정부와 공공기관을 사칭하고 사용자가 악성 앱을 설치하도록 유도하는 스미싱이 대량 발견됨에 따라 한국인터넷진흥원에서 주의를 권고했다. 한국인터넷진흥원은 공격자가 “지방세징수법”과 “관리법징수법” 등의 키워드를 활용해 스미싱을 발송한다고 언급했다. 또한, 이러한 스미싱의 다수는 말머리에 “[국제발신]” 또는 “[국외발신]” 표시가 있는 특징이 있다고 전했다. 한편, 피싱 메일은 보낸 사람의 주소가 정상 도메인 주소와 유사하거나, 한글 파일(.hwp)로 위장한 실행 파일을 첨부하기도 한다고 덧붙였다. 이에 대해 한국인터넷진흥원 측은 수신한 문자 또는 메일에 포함된 출처가 불분명한 인터넷 주소는 클릭하지 말아야 하며, 접속할 경우 정상 주소와 일치하는지 확인하라고 당부했다. 특히 접속한..

한국인터넷진흥원에서 최근 러시아-우크라이나 전쟁과 중동 분쟁 등 국제정세의 변화가 국내에 영향을 미치고 있어 관련 공지를 발표했다. 한국인터넷진흥원 측은 먼저 포트 스캐닝과 웹 취약점 등을 이용하는 랜섬웨어 감염 사례를 소개했다. 또한, 취약점 보안 패치 미적용과 기업 채용 담당자에게 전송된 이력서로 위장한 악성 파일 및 유지보수를 위해 허용한 원격 접속 등도 랜섬웨어 감염 원인이라고 전했다. 랜섬웨어에 감염되면, 공격자는 파일 암호화뿐만 아니라, 내부 민감 정보를 탈취하고 이를 공개한다는 빌미로 랜섬머니를 요구하는 이중 갈취를 한다고 설명했다. 이 외에도 국제 해킹그룹이 국내 정부와 금융기관 등을 대상으로 디도스(DDoS) 공격을 감행하는 정황을 언급했다. 이에 대해 한국인터넷진흥원은 외부 접속과 계정..