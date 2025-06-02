X-Force 분석을 통해 SVG 파일을 초기 공격 벡터로 활용하는 글로벌 피싱 캠페인을 발견했습니다. 금융 거래 문서로 위장한 이러한 파일에는 ZIP 아카이브를 시스템에 기록하는 내장 JavaScript가 포함되어 있습니다. 아카이브 내에서 JavaScript 파일이 멀웨어 감염 체인을 시작하여 궁극적으로 Blue Banana, SambaSpy 및 SessionBot과 같은 RAT를 배포합니다. 이러한 페이로드는 자격 증명 도용, 세션 하이재킹, 감시 및 데이터 유출을 위해 설계되어 대상 조직에 심각한 위험을 초래합니다.

멀웨어는 Amazon S3와 Telegram Bot API를 통해 통신하여 합법적인 트래픽에 섞여 탐지 작업을 복잡하게 만듭니다. 이 캠페인은 피싱 필터에서 거의 조사하지 않는 파일 형식을 사용하여 기존의 방어 체계를 쉽게 우회합니다.

이 접근 방식은 최근 OSINT 보고, 기술 블로그 및 업계 분석에서 나타나는 새로운 패턴을 반영하며, 멀웨어 로더를 삽입하고 피해자를 악성 콘텐츠로 리디렉션하는 데 SVG가 점점 더 악용되는 방식을 강조합니다.

특히, 금융 기관에서 보안 메시징을 위해 사용하는 글로벌 네트워크인 국제은행간 금융 통신협회(SWIFT)를 언급하며 SWIFT를 테마로 한 미끼를 사용한 캠페인은 금융 분야의 피해자에게 의도적으로 초점을 맞추고 있음을 시사합니다.

이러한 활동은 피싱 수법의 더 광범위한 추세를 보여줍니다. 공격자는 자격 증명 도용을 넘어 창의적이고 눈에 띄지 않는 방법을 사용하여 고급 멀웨어를 배포하는 방향으로 나아가고 있습니다. 방어자는 SVG와 같은 무해한 파일 유형도 이제 멀웨어 전달 플랫폼으로 작용할 수 있다는 점을 인식하고 그에 따라 탐지 로직과 직원 교육을 조정해야 합니다.