메일 사서함 업데이트 위장한 피싱메일 주의!!

ASEC 분석팀은 메일 사서함 업데이트로 위장한 악성 메일이 국내에 유포 중인 것을 확인하였다. 사용자 이메일 계정을 포함한 사서함 업데이트 제목으로 유포 중이며, 첨부된 링크를 클릭하도록 유도하고 있다.

유포 중인 악성 메일은 아래와 같으며, 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 본문 내용은 이메일 사서함 할당량 공간 부족으로 업데이트를 유도하는 내용이 포함되어 있다.

메일 사서함 업데이트 위장한 악성 메일

사용자가 할당량 업데이트 버튼을 누를 경우, 아래와 같이 이메일 계정을 확인시켜주며 패스워드 입력을 요구하는 피싱 사이트로 연결 된다.

이메일 비밀번호 입력 요구하는 피싱 페이지

사용자가 입력 폼에 패스워드 정보를 기입하고, ‘지금 업그레이드’ 버튼을 클릭할 경우, 업그레이드 진행 사항을 화면에 표시해주며 최종적으로 국내 특정 포털 사이트(www.daum.net)로 리다이렉션 된다. 이는 사용자의 의심을 피하기 위한 위장 메커니즘으로 실제로는 사용자가 입력한 패스워드 정보가 공격자의 C2 서버로 전송 된다.

  • 정보 유출 주소 : hxxps://belezadobem.com.br/wp-includes/himdg/Korea/post.php

C2 서버로 전송된 POST 패킷

정상 포털 사이트(www.daum.net)로 리다이렉션 된 모습

국내 사용자를 대상으로 사서함 업데이트 관련 내용을 포함한 악성 메일 유포가 증가하고 있으므로, 사용자들은 출처가 불분명한 메일 열람시 주의가 필요하며 첨부 파일을 실행하지 않도록 해야한다.

현재 V3 에서는 해당 피싱 URL 연결 시 아래와 같이 차단하고 있다.

URL 차단 – belezadobem.com.br

[관련 IOC 정보]

  • MD5: 6B9D35F1A34DED4D8DF9F62055D591BD
  • 피싱 URL: hxxps://belezadobem.com.br/wp-includes/himdg/Korea/post.php

Categories:악성코드 정보

Tagged as:, ,

5 2 votes
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments