10월 16일(현지 시각), 사이버 보안 전문 매체 블리핑컴퓨터가 PHP로 작성된 새로운 정보 탈취 멀웨어 '덕테일(Ducktail)' 피싱 공격이 발견되었다고 보도했다. PHP 스크립트를 이용해 윈도 정보 탈취 멀웨어 역할을 한 덕테일은 페이스북 계정과 브라우저 데이터, 암호화폐 지갑 탈취 공격 등에 동원되었다.
덕테일은 지난 7월, 사이버 보안 전문 연구 기관 위드시큐어(WithSecure)가 처음 발견했으며, 베트남 해커 세력이 배후에 있는 것으로 알려졌다. 덕테일은 과거, PHP로 작성된 피싱 공격에 동원된 NET Core 정보 탈취 멀웨어를 대체하였다.
덕테일은 주로 게임과 자막 파일, 성인 영상, MS 오피스 애플리케이션 등을 이용하며, 정상적인 파일 호스팅 서비스에서 ZIP 포맷으로 호스트된다. 이후 가짜 '애플리케이션 호환성(Checking Application Compatibility)' 팝업이 등장해, 스캐머가 설치를 유도하는 가짜 애플리케이션을 전송받는다. 이후 PHP.exe 로컬 인터프레터가 포함된 %LocalAppData%\Packages\PXT 폴더로 추출돼, 정보 탈취에 다양한 스크립트를 이용한다.
한편, 덕테일 피싱 공격은 주로 SNS에서 기업 광고를 담당하는 금융 부서나 마케팅 부서를 공격 대상으로 삼은 것으로 확인됐다. 해커 세력은 자체 페이스북 캠페인을 운영하는 계저과 직접 결제 관리 계정을 손에 넣고, 피해 규모를 늘리고자 하였다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[구혜영 칼럼] 카르텔의 서늘한 풍경](/news/data/2025/11/03/p1065592872193525_800_h.png)
