ASEC 分析チームは最近、韓国国内の有名な有名航空会社を騙り、利用者の情報を収集するフィッシングメールを確認した。このフィッシングメールは航空券の決済についての内容をお知らせし、詳しい航空券の価格と事前情報を把握したものと推定される内容とともに偽装したフィッシングサイトへのアクセスを誘導する。
メールの件名および本文は以下の通りである。
本文に添付された HTML ファイルを確認すると、以下のような韓国国内の有名航空会社に偽装したフィッシングサイトに接続される。
このサイトは韓国国内の有名航空会社の経営サポート部署の出どころに偽装しており、航空券確認書 PDF のプリントアウトを要求する内容とともに、被害者のアカウント情報の入力を要求する。
この過程で、ユーザーがパスワードを入力し、免税書を確認するボタンをクリックすると、以下のように攻撃者のサーバーに収集したアカウント情報を転送する。
以下のように精巧な内容で配布されるフィッシングメールについての被害を防ぐため、不明なメールの添付ファイルを閲覧する場合は、特に注意する必要がある。
現在 AhnLab では、このフィッシングサイトと関連ドメインを遮断している。
[IOC 情報]
- hxxps://ocostelaosantos[.]com.br/wp-content/plugins/vitor-teste/actions/crude/cross.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報