ASEC 분석팀은 메일 사서함 업데이트로 위장한 악성 메일이 국내에 유포 중인 것을 확인하였다. 사용자 이메일 계정을 포함한 사서함 업데이트 제목으로 유포 중이며, 첨부된 링크를 클릭하도록 유도하고 있다.
유포 중인 악성 메일은 아래와 같으며, 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 본문 내용은 이메일 사서함 할당량 공간 부족으로 업데이트를 유도하는 내용이 포함되어 있다.
사용자가 할당량 업데이트 버튼을 누를 경우, 아래와 같이 이메일 계정을 확인시켜주며 패스워드 입력을 요구하는 피싱 사이트로 연결 된다.
사용자가 입력 폼에 패스워드 정보를 기입하고, ‘지금 업그레이드’ 버튼을 클릭할 경우, 업그레이드 진행 사항을 화면에 표시해주며 최종적으로 국내 특정 포털 사이트(www.daum.net)로 리다이렉션 된다. 이는 사용자의 의심을 피하기 위한 위장 메커니즘으로 실제로는 사용자가 입력한 패스워드 정보가 공격자의 C2 서버로 전송 된다.
- 정보 유출 주소 : hxxps://belezadobem.com.br/wp-includes/himdg/Korea/post.php
C2 서버로 전송된 POST 패킷
정상 포털 사이트(www.daum.net)로 리다이렉션 된 모습
국내 사용자를 대상으로 사서함 업데이트 관련 내용을 포함한 악성 메일 유포가 증가하고 있으므로, 사용자들은 출처가 불분명한 메일 열람시 주의가 필요하며 첨부 파일을 실행하지 않도록 해야한다.
현재 V3 에서는 해당 피싱 URL 연결 시 아래와 같이 차단하고 있다.
[관련 IOC 정보]
- MD5: 6B9D35F1A34DED4D8DF9F62055D591BD
- 피싱 URL: hxxps://belezadobem.com.br/wp-includes/himdg/Korea/post.php
Categories:악성코드 정보