새롭게 등장한 피싱 키트, 독특한 중간자 공격 메커니즘 탑재
신규 등장 ‘피싱 키트’, 중간자 공격 메커니즘 탑재
일부 공격자들 사이에서 사용되고 있는 새로운 피싱 키트가 발견됐다. 최소 2024년 10월부터 유포된 것으로 보이며, 독특한 중간자 공격을 할 수 있게 해 주는 것으로 분석됐다. MS365 계정을 겨냥
www.boannews.com
- 스니키2FA의 특징
- 중간자 공격: 스니키2FA는 사용자가 입력한 인증 정보를 실제 인증 서버로 전달하여 2단계 인증을 우회하는 중간자 공격을 수행
- URL 생성 패턴: 피싱 페이지의 URL은 150개의 알파벳 뒤에 '/index', '/verify', '/validate' 등의 문자열을 추가하여 생성
- 안티 디버깅 기술: 브라우저 개발자 도구를 통한 분석을 방해하기 위해 HTML과 자바스크립트 난독화 및 리캡챠(reCAPTCHA)와 클라우드플레어 턴스틸(Cloudflare Turnstile) 챌린지를 사용
- 스니키2FA의 작동 방식
- 피싱 페이지 접속: 사용자가 피싱 페이지에 접속하면 리캡챠나 클라우드플레어 턴스틸 챌린지를 통과해야 함
- 가짜 인증 페이지: 챌린지를 통과하면 가짜 MS 인증 페이지로 리디렉션되어 사용자 정보를 입력하게 됨
- 중간자 공격 수행: 입력된 정보를 실제 MS 365 인증 서버로 전달하여 2단계 인증 코드를 가로챔
- 스니키2FA의 배포 및 판매
- 판매 방식: 스니키2FA는 사이버 범죄 집단 '스니키로그(Sneaky Log)'에 의해 구독형 상품으로 제공되며, 텔레그램 봇을 통해 판매됨
- 거래 통화: 비트코인, 트론, 이더리움, 라이트코인, 바이낸스 체인 기반 테더 등 암호화폐로 거래됨
- 탐지 및 대응 방안
- 로그 분석: MS 365 감사 로그에서 인증 단계별로 하드코딩된 유저 에이전트 문자열을 확인하여 스니키2FA의 사용 여부를 탐지할 수 있음
- 보안 교육: 사용자들에게 의심스러운 이메일이나 링크를 클릭하지 않도록 교육하고, 이중 인증을 활성화하여 보안을 강화해야 함
- 결론
- 스니키2FA는 중간자 공격을 통해 2단계 인증을 우회하는 고도화된 피싱 키트로, 사용자와 조직의 보안에 심각한 위협을 초래함
- 지속적인 보안 교육과 기술적 대응을 통해 이러한 공격에 대비해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 새로운 미라이 변종 '머독 봇넷'의 등장과 보안 권고 (1) | 2025.02.06 |
|---|---|
| 스탠퍼드 대학의 '유령 개발자' 연구와 그 한계 (1) | 2025.02.06 |
| 2025년 AI 주도 네트워킹 전망과 보안 과제 (0) | 2025.02.06 |
| 업비트, 고객확인 부실로 제재심 진행 중 (0) | 2025.02.06 |
| 금감원, '전산장애' 3개 가상자산 거래소 현장점검 실시 (0) | 2025.02.06 |