국내 포털 계정정보 탈취용 피싱메일 주의!

 ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다.

송장 관련 스팸 메일
첨부 파일 내부에 존재하는 HTML

해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다.

피싱 파일 내부 코드

리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다. 해당 사이트는 사용자의 계정 정보를 탈취하는 피싱 사이트이지만 정상 사이트와 매우 유사하여 사용자가 알아채기 힘들다.

피싱 사이트와 정상 사이트 비교

내부 코드도 정상 사이트와 매우 유사하며 계정 및 비밀번호 입력시 전송되는 서버가 공격자 주소로 변경되어 있는 것을 확인할 수 있다.

피싱 사이트와 정상 사이트 내부 코드

사용자의 계정 정보 전송 이후 송장과 관련된 사진이 게시된 url 로 리다이렉트 된다.

송장 관련 사진이 게시된 피싱 사이트

또한 유포 당시 해당 피싱 url 을 악성 사이트로 진단하는 곳이 없어 사용자는 큰 의심없이 로그인을 시도할 수 있으므로 큰 주의가 필요하며, 출처가 불분명한 메일 수신시 첨부파일을 실행하지 않도록 해야한다.

VirusTotal URL 탐지내역

현재 V3 제품에서는 관련 파일 및 url 에 대하여 아래의 진단명으로 탐지 및 차단하고 있다.

[파일 진단]

  • Phishing/HTML.Refresh (2020.07.01.08)
  • Phishing/EML.Attach (2020.07.01.08)

[URL 차단]

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments