국가기관(@knps.or.kr) 대상으로 피싱메일 유포 중

ASEC 분석팀은 지난 주 공직자를 타겟으로 한 피싱 메일이 국내에 유포 중임을 공개하였는데 금일에는 국립공원공단을 대상으로한 피싱 메일을 확인하였다. 메일에는 아래 [그림1]과 같이 시스템 점검을 위해 이메일 버전 업그레이드를 하도록 유도하록하는 내용이 포함되어있다.

https://asec.ahnlab.com/1346

[그림1] – 유포 된 피싱 메일

위 메일을 열람 후 피싱 메일인지 인지 못한 사용자가 ‘새로운 서버 버전’을 확인하기 위해 해당 버튼을 클릭하면 로그인을 유도하는 피싱 페이지를 확인 할 수 있다. 해당 계정의 사용자가 암호를 입력후 로그인을 진행하면 사용자의 계정 정보는 유출된다. 

  • 접속 피싱 주소 : hxxp://manalhaddara.com/dcokkin/new/index.php?email=[계정명]@knps.or.kr
  • 정보 유출 주소 : hxxp://manalhaddara.com/dcokkin/new/mail.php
[그림2] – 피싱 페이지

암호를 입력 후에 최종적으로 아래와 같이 국립공원 정상 페이지로 연결되기 때문에 사용자는 더욱 피싱임을 눈치 채기 어렵다.

[그림3] – 암호 입력 후 확인되는 정상 사이트

사용자들은 발신인이 불분명한 메일의 주의가 매우 필요하며 메일의 첨부파일 된 파일을 열람하지 않는 것은 물론, 첨부된 추가 파일이 없더라도 연결되는 URL 또한 접속하지 않도록 해야한다.

타사들의 피싱 URL 탐지 현황은 아래와 같으며 자사에서도 해당 URL에 대해 차단이 가능하다.

[그림4] – 타사 탐지현황
[그림5] – 접속 피싱 주소 V3차단 화면
[그림6] – 접속 유출 주소 V3차단 화면

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments