韓国国内メールサービスユーザーをターゲットにしたフィッシングサイト(2) Posted By Hansoyoung , 2021年 June 21日 今まで、本ブログを通して様々なフィッシングメールを ASEC 分析チームが共有してきた。今回も、以前共有した韓国国内のメールサービスのユーザーをターゲットとして拡散するフィッシングサイトのタイプにおける新たなサイトがを発見したため、これについて公開する。 最近確認されたフィッシングサイトは、NAVER メール(mail.naver)、Daum メール(mail2.daum)、Hiworks のユーザーを対象に ID とパスワード(Password)、ユーザー IP 等を収集し、攻撃者のメールに転送する。 最上位のドメイン…
短縮 URL を悪用した特定機関を騙るフィッシングメールに注意! Posted By Hansoyoung , 2021年 June 15日 ASEC 分析チームでは、フィッシングメールに関連する内容をブログで継続的に紹介し、ユーザーへの注意を呼びかけている。最近添付されたファイルからは、同類と判断できるフィッシングメールが大量に配布されている状況が捕捉された。 この種類のフィッシングメールの特徴は、最終的に接続されるフィッシングサイトの HTML ファイルの構造こそ異なるが、メールに添付されたリダイレクト機能の HTML ファイルの構造が同じであり、特定の短縮ドメイン(chilp.it)を使用してフィッシングページの URL を隠匿するという点である。別個の二つのフィッシングメールを通して、同類であると判断できる構造的な特徴を説明する。 以下の[図3]、[図4]は、上記[図1]、[図2]のフィッシングメールに添付された HTML ファイルであり、これらのファイルはどちらも実行すると3秒後にフィッシングページに接続(リダイレクト)する機能を実行し、文法も同じ構造を持っている。目につく特徴としては、特定の短縮…
見積書依頼のフィッシングメールに偽装した Lokibot マルウェア Posted By Hansoyoung , 2021年 May 4日 AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。 今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。 メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。…
