[퓨니코드와 타이포스쿼팅 위험사례]

​

많은 피싱공격들은 설득력 있어 보이게 은행등을 모방합니다. 이메일 발송시 로고를 포함한 모든 것들이 공식적인 처럼 보이게 만듭니다. 그러나 만약 주의깊게 공격자들의 이메일 주소를 살펴본다면, 이것은 속임수라는 것을 알 수 있습니다. 공격자들은 더욱더 정교한 방법으로 사용하여 공격 대상을 속입니다. 타이포스쿼팅, 퓨니코드, 스타잭킹와 같은 새 공격들은 사용자들이 작은 점까지 더 주의를 요해야 하게 만듭니다. 더 신중하게 읽는 것이 어느때 보다 더 중요하며 그렇지 않고 서두를 경우, 더 빠르게 피해금액이 증가합니다.

​

Many phishing attacks pose as banks, and their efforts can be quite convincing. Everything in the email might look official, including the logo. But if you carefully examine the sender’s address, you can see it’s from an imposter.
Now threat actors are using even more sophisticated methods to deceive targets. From typosquatting to punycode to starjacking, these new tactics demand even closer attention to spot. It’s more important than ever to read carefully — or pay a steep price for being in a hurry.

​

​

공격자들은 어떻게 '퓨니코드'를 사용하는 걸까요? / How Attackers Use Punycode

컴퓨터 모니터에 먼지 얼룩을 본 적 있으신가요? 만약 이 점과 같은 얼룩이 스크롤을 내릴때도 움직인다면 더 이상 먼지가 아닐 것입니다. 이것은 도메인에 부비트랩 함정이 걸어져 있느 도메인일 것 입니다.

예로, 사이버 범죄자들이 미국의 금융서비스인 아메리프라이즈인를 모방한 방법을 살펴 봅시다. 사기 도메인은 ạmeriprisẹ[.]com 로 되어 있는데, ạ 와 ẹ 아래에 있는 작은 점을 볼 수 있으신가요? 이것은 어떻게 범죄자들이 퓨니코드를 활용하여 피해자들위험한 웹페이지를 방문하도록 하는 방법 입니다.

퓨니코드는 웹 브라우저들이 키릴문자와 같은 라틴 알파멧이 아닌 도메인 이름으로 바꾸는 것을 도와주는 인터넷 표준으로 방식입니다. 자칭 디즈니랜드라고 하는 사이버 범죄자들은 금융사기에 퓨니코드를 이용한다고, 크렙스온보안보고서에서 확인하였습니다.

디즈니랜드 범죄자들이 사용하는 또 다른 도메인은 ushank[.]com 인데 이는 미국은행의 고객을 속이기 위해서 디자인되었으며 만약 주의깊게 읽지 않는다면 ushank를 usbank라고 생각될 것입니다. 크렙스에 따르면 피싱공격을 일환으로 아래와 같은 도메인들이 추가로 사용되었습니다.

• Login2.ẹmirạtesnbd[.]com - 두바이에 있는 Emirates NBD 은행

• Cliẹntșchwab[.]com - 찰스 스왑 고객들을 위한 로그인페이지

• Singlepoint.ụșbamk[.]com - 미국은행 고객들을 위한 또 다른 피싱 도메인

​​

  Have you ever seen a speck of dirt on your computer monitor? Well, if the speck moves when scrolling, it’s more than just dust. It could be a booby-trapped domain.
For example, let’s look at how cyber criminals spoof the U.S. financial services firm Ameriprise.The imposter domain reads like this: ạmeriprisẹ[.]com. See the tiny dots below the “ạ” and “ẹ”? That’s how attackers are using punycode to fool victims into visiting dangerous websites.
  Punycode is an internet standard that allows web browsers to render domain names with non-Latin alphabets like Cyrillic. A cyber gang calling itself Disneyland Team uses punycode to commit financial fraud, according to a KrebsOnSecurity report.
  Another domain used by Disneyland Team is ushank[.]com, which is designed to fool U.S. Bank customers. If you don’t read carefully, you might think “ushank” is “usbank”. As per Krebs, other imposter domains used in this kind of phishing attack include:

• Login2.ẹmirạtesnbd[.]com, which mimics Emirates NBD Bank in Dubai

• Cliẹntșchwab[.]com, which looks like the login page for Charles Schwab clients

• Singlepoint.ụșbamk[.]com, another phishing domain for U.S. Bank customers.

​

​

우리가 알던 피싱공격이 아닙니다 / Not Your Classic Phishing Attack

​디즈니랜드 공격팀의 퓨니코드 침입방식은 전통적으로 생각하던 피싱공격이 아닙니다. 오히려 피해자 컴퓨터에 이미 설치되어 있는 악성 소프트웨어를 활용하여, 가짜 도메인을 사용합니다. 윈도우 기반의 Gozi 2.0/Ursnif 라 불리는 은행 멀웨어를 사용합니다.

크렙스에 따르면, 이 멀웨어로 고객측의 온라인 뱅킹 웹페이지에서 신분정보를 쉽게 얻어 가짜 은행 송금을 이용합니다. 왜 범죄자들은 단순한 일반 피싱 캠페인을 활용하여 신분정보를 훔치지 않는 것일까요? 그 이유는 만약 공격자들처럼 알려지지 않은 IP주소로 부터 로그인을 시도한다면, 대부분 은행 웹페이지는 2차 인증을 요구할 것이기 때문 입니다. 디즈니랜드팀은 피해자들이 가짜 은행 웹페이지를 이용할 수 있도록 유인합니다.

반면에, 멀웨어는 피해자의 가짜 페이지에서의 활동을 실제 은행 페이지에서의 활동으로 교차해서 실행시킵니다. 이는 공격자들이 어려워 하는 비밀질문 또는 인증앱과 같은 다중인증을 해결해 줍니다.

​피해자들이 로그인 신분정보를 가짜 홈페이지에 입력을 할때, "승인요청을 기다리는 중 입니다. 이 창을 닫지 마세요" 라는 메시지와 함께 돌아가는 로딩 아이콘을 볼 수 있다. 이는 범죄자들에게 발각되지 않고 로그인할 시간을 제공하면서 피해자 은행계좌를 통제할수 있게 합니다.

​

The Disneyland Team punycode intrusions aren’t your typical phishing attacks. Rather, the group uses phony bank domains to leverage malicious software already installed on a victim’s computer. The Windows-based banking malware is called Gozi 2.0/Ursnif. 
  According to Krebs, Gozi can harvest credentials and facilitate fraudulent bank transfers in client-side online banking. Gozi also allows attackers to connect to a bank’s website using the victim’s computer.
  Why don’t criminals simply steal credentials with conventional phishing campaigns? Most banking sites will ask for secondary authentication if intruders attempt to log in from an unknown IP address. That’s why Disneyland Team lures targets to interact with fake bank websites. Meanwhile, the malware relays the victim’s browser activity to the real bank website. This enables attackers to defeat multi-factor authentication challenges, such as secret questions or verification apps.
  When victims enter login credentials on the phony bank page, they see a spinning circle followed by a message that says, “Awaiting back office approval for your request. Please don’t close this window.” This gives the criminals time to log in undetected and take control of the victim’s bank account.

​

​

​'타이포스쿼팅'이 와스프 공격으로 이어집니다 / Typosquatting Leads to WASP Sting

​타이포스쿼팅은 공격자들 입장에서 주의깊게 읽지 않는 유저들에게 쉽게 적용할 만한 또 다른 공격입니다. 이 특정 신용사기 방법은 파이선 팩키지 인덱스(PyPi) 를 이용하는 개발자들을 공격의 대상으로 삼습니다. 이는 파이선에 대한 제3의 공식 소프트웨어 저장소로 2022년 1월 이후 35만개 이상의 파이선 패키지가 이 저장소를 통해 이용될 수 있습니다. 파이피에서 유저들은 키워드 또는 필터를 통해서 패키지를 찾을 수 있습니다.

파이피 패키지를 찾을 때 개발자들은 주의깊게 살펴볼 필요가 있습니다. 예를 들면, 칼라마 (Colorama) 파이피 패키지를 찾고 있다고 할 때 너무 빠르게 클릭한다면, 악성코드가 심어져 있는 의심스러운 칼라스마(Colorsama)를 선택할 수도 있기 대문 입니다.

이 가짜 패키지들의 운영자들은 시작은 합법적인 패키지의 코드를 복사하는데, 이 악의적인 패키지안에 스테가노그라피 (steganography) 기술을 활용하여 의심스러운 코드를 심습니다. 이는 다른 파일들에 코드를 숨겨서서 파이피 유저들이 깃퍼브의 오픈소스 패키지를 통해서 감염될 수 있게 합니다.

필럼에 따르면, 감염 패키지의 초기 버전을 가볍게 보았을 때 의심스러운 코드가 들어가 있습니다. 그러나 이 공격이 삭제가 되면, 공격전술을 변경합니다. 분명히 보이는 곳에 대량으로 악성코드를 심는 것 대신에 그들은 스크린에서 보이지 않는 곳에 코드를 숨깁니다.

아래 이미지를 보면 빨간색 화살표는 악성코드가 표시합니다. 이는 편집화면에서 코드를 크게 확대를 해야 볼 수 있습니다.

​

  Typosquatting is another attack that takes advantage of users who don’t read carefully. This particular scam targets developers on the Python Package Index (PyPi), the official third-party software repository for Python. As of January 2022, over 350,000 Python packages can be accessed through that repository. PyPi enables users to search for packages by keywords or filters.
  When browsing for a PyPi package, developers need to pay close attention. For example, let’s say you search for the Colorama PyPi package. If you click too quickly, you might select Colorsama — a malicious package with a toxic import.
  Operators of these imposter packages start by copying legitimate package codes. The criminals then embed malicious code within the rogue package using a technique called steganography. This hides code in other files to infect PyPi users through open-source projects on GitHub.
  According to Phylum, the malicious import was injected in plain view in early versions of infected packages. As these attempts were taken down, attackers changed tactics. Instead of dumping the import in an obvious spot, they hid the code off-screen.  In the image below, the red arrow marks the toxic import. It can only be seen if you zoom out on your code editor window.

​

​

[필럼 / Source: Phylum]

연구자들은 파이피에서 WASP인포 스틸러 멀웨어를 포함한 의심스러운 코드를 발견하고 있다고 보고합니다. .최근 보고서는 보안툴을 피하는 기술들을 품고 있는 WASP 인포스틸러를 활용한 수백개의 성공적인 감염공격에 대한 내용을 담고 있습니다. 예로, 형태가 다양한 악성코드의 사용이 발견되었고, 이는 악성 페이로드들이 새로운 인스톨로 바뀌는 것을 발견하였습니다. 이는 감염은 시스템이 재부팅 된 후에도 지속된다는 것을 의미합니다.

공격자들은 발각되지 않기 위해서 WASP를 블랙마켓에서 거래를 하고, 악성코드의 복사본을 20달러에 판매합니다. 지불수단은 기프티카드 또는 암호화폐로 이용됩니다.

​​

  Recently, researchers reported seeing malicious packages on PyPi containing WASP info-stealer malware. One report detailed hundreds of successful infections of the WASP info-stealer, which also houses features that enable it to evade cybersecurity tools. For example, researchers discovered the use of polymorphic malware that enables malicious payloads to change with new installs. This means the infection remains persistent even after a system reboot.  
  The operator markets WASP as being undetectable and sells copies of the malware for $20. Customers can pay in cryptocurrency or gift cards.

​

​

가짜 패키지들은 깃허브에서 좋아 보입니다 / Fake Packages Look Good on GitHub

공격자들은 타이포스쿼팅이 꽤 괜찮았다면, 다른 스타재팅이라는 방법을 감염된 파이피 패키지를 퍼트리고자 합니다. 프로젝트에서 사용되는 소프트웨어 패키지를 선택할때 어느 정도 인기에 의존하게 됩니다. 그래서 공격자들은 개발자들에게 거짓으로 인기있는 패키지라는 정당함을 주는 속임수를 이용합니다. 하나의 방법은 깃퍼브에서 코드의 인기를 별을 이용하는데 이를 보여주는 것 입니다. 이 별들은 코드의 정당함에 대한 어떠한 프로세스를 거치지 않습니다. 단지 스타잭킹이라고 불리는 공격전술을 사용하면서, 별을 이용해 개발자들을 잘못된 길로 이끕니다. 모든 공격자들이 해야하는 것들은 매력적인 수치를 기반으로 합법적인 깃허브 저장소를 선택하는 하고, 쉽게 합법적URL을 복사하여, URL 필드로 붙여넣은 후 악성 패키지 프로파일을 설치합니다.

  If typosquatting wasn’t bad enough, actors use other methods to lure people into using infected PyPi packages. One such tactic is starjacking. 
  The choice of which software package to use in your project depends, in part, on its popularity. That’s why criminals try to deceive developers by making a package look popular to give a false sense of legitimacy.
  One way to showcase a code’s popularity is GitHub Stars. These star stats do not go through any validation process. Using a technique called starjacking, attackers can rig GitHub Stars to mislead developers. All attackers have to do is choose a legitimate GitHub repo with attractive statistics. Then, they simply copy the legitimate URL to the URL field in the setup of their toxic package profile.

​

​

의심하지 않는 피해자들 / Unsuspecting Victims

이러한 많은 악성 전술의 피해자들은 신규 개발자 이거나 또는 모국어가 영어가 아니 사람들 입니다. 파이피 웹사이트는 선택할 수 있는 다양한 언어들이 있을지 몰라도, 모든 패키지가 번역을 하고 있는 것은 아니기 때문입니다. 이것은 개발자들의 패키지의 타당성을 확인하기 어렵게 합니다.

60%의 IT 회사들은 그들의 소프트웨어 개발의 일부 또는 대다수를 아웃소싱을 합니다. 더 많은 개발자들이 국외로 옮겨짐에 따라서, 악성코드들이 컴퓨터에 침투하는 것이 쉬워집니다. 긴장해서 주의깊게 읽는다면, 너무 늦기전에 위협을 발견할 수 도 있을 것 입니다.

​

  Many of the victims of these malicious tactics may be newer developers or those whose first language is not English. Although the PyPi website has various languages to pick from, not every package description comes with a translation. This makes it harder for developers to evaluate package legitimacy. 
  Almost 60% of IT companies outsource some or all of their software development. As more developer work moves offshore, it will become easier for malicious code to find its way onto computers. Through vigilance and careful reading, you might catch a threat before it’s too late.

​

https://securityintelligence.com/news/dangers-of-punycode-and-typosquatting/