최근 사이버 범죄자들이 보안업체인 Proofpoint社를 사칭하여 피해자를 속이고 마이크로소프트 오피스365 및 구글 Gmail 자격 증명을 탈취하고 있는 것으로 알려졌다. 공격을 위해 발송된 피싱메시지는 결제 요구와 관련된 내용으로, 제목은 “RE: Payoff Request”이다.메일은 Proofpoint社가 보낸 것으로 위장, 메일 內 링크를 클릭하면 다양한 이메일 제공업체에 대한 로그인 링크가 포함된 페이지로 이동하는데, 이 공격에는 마이크로소프트와 구글을 위한 전용 로그인 페이지도 포함된 것으로 알려졌다.

피싱 메일 계정은 탈취된 합법적인 개인 메일에서 전송되었는데 해당 도메인은 sdis34[.]fr로, 프랑스 남부의 소방서로 알려젔다. 한 편 메일 內 구글 및 오피스 365 버튼을 클릭하면 피해자의 자격증명을 요청하는 특수 제작된 구글 및 마이크로소프트 피싱 페이지로 리다이렉션된다. 피싱 페이지는 2021년 4월에 업데이트된 “greenleafproperties[.]co[.]uk” 도메인에서 호스팅되었는데 현재 “cvgproperties[.]co[.]uk”로 리다이렉션되고 있다.

이번 공격의 주요 특징은 아래와 같다.

  • 사회공학 : 피해자에게 신뢰를 유도하기 위한 메일 제목 및 내용 : 이메일이 Proofpoint에서 보낸 파일을 포함하고 있다고 주장하여  신뢰감을 형성, 또한 기타 중요한 정보가 포함되어있음을 주장
  • 브랜드 사칭 : 이메일과 방문 페이지 모두 Proofpoint社를 스푸핑.  구글 워크스페이스 및 오피스 365의 로그인 페이지에는 해당 미에리 제공업체의 브랜드도 있음
  • 침해된 이메일 주소 사용 : 이메일은 프랑스 소방서에 속한 개인의 손상된 이메일 계정에서 전송

 

[출처 : SecurityAffairs / 11.7.]