구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취)

3월 14일, ASEC 분석팀은 ‘구매확인서 발급 확인요청’으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다.

최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다.

https://asec.ahnlab.com/1282

이번에 접수된 악성 코드는 실행 파일(.EXE)이 아닌 .HTML 스크립트 형식의 파일로 실행 시, 웹 페이지 창을 띄우게 되어 있다. ([그림 1.] 참고)

[그림 1.] 악성HTML 스크립트 파일

현재는 “구매확인서 발급 확인요청.pdf.html”이라는 이름으로 유포되고 있으며, 해당 파일을 실행 시 [그림 2.]의 (좌) 화면과 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다.

하지만 해당 파일은 정상적인 사이트가 아닌 공격자가 만든 가짜 사이트로 정상 사이트와 매우 유사한 화면임을 알 수 있다.

[그림 2.] (좌) 피싱 사이트 / (우) 정상 사이트

만약, 아이디와 패스워드를 입력하고 로그인 버튼을 누르게 되면, 공격자 서버로 해당 계정 정보가 전송되며 이후에는 정상적인 포털 사이트로 리다이렉트(Redirect)되어 이상함을 알아채기 어렵도록 한다.

해당 샘플의 스크립트를 확인 시, 아래와 같은 공격자 서버를 확인할 수 있다.

일반 사용자들은 출처가 불분명한 이메일 수신시 첨부파일 실행 또는 URL 링크 클릭에 각별한 주의가 필요하다. 현재 V3 제품에서는 이러한 형태의 악성코드를 아래의 진단명으로 탐지하고 있다.

  • Phishing/Html.Agent (2020.03.16.05)

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments