[하루한줄] 피싱 폼 데이터를 동적으로 생성하는 LogoKit

URL

LogoKit: Simple, Effective, and Deceptive

Target

  • 악성 URL에 접근하는 사람

Explain

RiskIQ에서 DOM(Document Object Model)과 상호 작용하여 HTML form data를 동적으로 생성하는 피싱 키트인 LogoKit을 발견했습니다.

LogoKit은 복잡한 레이아웃과 다양한 파일을 활용하는 다른 피싱 키트와 달리 embeddable한 자바스크립트 함수를 모아뒀으며 DOM과의 상호 작용을 통해 사용자 상호 작용 없이 페이지 내의 콘텐츠와 HTML form data를 동적으로 변경할 수 있습니다.

LogoKit은 피해자의 이메일이 포함된 URL(phishingpage[.]site/login.html#victim@company.com)을 이메일로 전송합니다. URL에 포함된 이메일은 location hash로 사용자/회사 도메인으로 나뉘어 저장되며 회사 도메인 로고를 가져옵니다. 또한 username 필드에 이메일을 자동으로 채워 피해자가 비밀번호를 입력하도록 유도합니다. 피해자가 비밀번호를 입력하면 이메일이 유효한 지 확인하기 위해서 첫 번째 입력은 암호가 틀렸으니 다시 입력하라는 메시지를 표시하고 두 번째 입력에서 이메일과 암호를 외부로 전송한 후 회사 사이트로 리다이렉션 합니다.

Logokit는 규모가 작고 회사 로그인 포털을 모방하는 식의 간단한 방법을 통해 구축이 가능하며, Firebase, Github, Oracle Cloud 등 신뢰할 수 있는 공개 서비스에 Javascript를 호스팅 할 수 있으므로 매우 위협적입니다. 또한 타깃 당 단일 URL을 갖고 회사 로고를 사용하므로 쉽게 위협에 노출될 수 있으므로 많은 주의가 필요합니다.

LogoKit 피싱 링크의 예시 : hxxps://324634XXXa2616-dot-XXXX-301XX4.df.r.appspot.com/#recruitmentXXX@XXX.com