사회보장 이메일에 위험한 악성 코드가 숨겨져 있을 수 있음

코핀즈의 보안 연구원들은 미국 사회보장청을 사칭한 다수의 피싱 이메일을 발견했습니다. 목표는 ConnectWise 원격 액세스 트로이목마를 배포하는 것이었습니다. 이메일 빈도는 2024년 미국 대통령 선거를 앞두고 증가했습니다.

전문가들은 사람들의 장치에 원격 액세스 트로이목마(RAT) 악성 소프트웨어를 설치하려는 목적으로 미국 사회보장청을 사칭하는 사이버 범죄자들이 있다고 경고했습니다.

코핀즈의 사이버 보안 연구원들은 2024년 미국 대통령 선거를 앞두고 점차 속도를 내는 피싱 캠페인을 관찰했습니다.

이 캠페인의 목표는 ConnectWise RAT을 배포하는 것이었습니다 – ConnectWise Control(이전에는 ScreenConnect)라는 정상적인 소프트웨어를 사악하게 이용한 것입니다.

코핀즈는 심층 분석에서 동일한 피싱 캠페인의 여러 변종을 관찰했으며, 범죄자들은 사회보장청을 모방하고 업데이트된 혜택 명세서를 제공한다고 주장했습니다. 대부분의 경우, 가짜 명세서는 일치하지 않는 링크 형식으로 제공되었습니다(링크가 제대로 이동하지 않는 링크). 때로는 위협 요소들이 링크를 “명세서 보기” 버튼 뒤에 숨으려고도 했습니다.

이 캠페인은 아마도 2024년 9월 중순경에 시작되었을 것으로 보이며, 코핀즈가 처음 관찰한 시기입니다. 두 번째 샘플은 한 달 후에 나왔고, 빈도는 점차 증가하여 11월 중순까지 계속되었습니다.

“추가적인 이메일이 11월 말에도 보였지만, 이 캠페인은 선거일 한 주 뒤인 11월 11일과 12일에 최대 규모에 도달했습니다,” 코핀즈는 결론 지었습니다.

ConnectWise Control은 정상적인 원격 데스크톱 및 지원 도구이지만, 이 상황에서는 피해자들의 장치에 무단으로 접속하기 위해 사용됩니다. 사이버 범죄자들은 이 소프트웨어의 정상적인 기능을 악용하여 은밀하게 배포하며, 종종 악성 코드나 피싱 계획과 번들로 묶습니다. 설치된 후에 RAT은 위협 요소들이 시스템을 원격으로 제어하고, 민감한 데이터를 도용하고, 추가적인 악성 코드를 배포하고, 피해자의 컴퓨터 활동을 모니터할 수 있게 합니다.