파일공유 사이트(WeTransfer) 를 위장한 피싱메일 유포

최근 파일공유 사이트 WeTransfer를 위장하여 사용자의 개인정보를 유출하는 피싱메일이 유포되고 있다. 2월 2일 ASEC 분석팀이 수집한 이메일에 의하면, 공격자는 본문에 악성 링크가 포함된 메일을 수신자 맞춤형으로 개별 발송하였다. 본문 내용은 WeTransfer를 통해 새로운 파일이 도착했다는 내용이다. 링크를 클릭할 시 공격자가 미리 준비해둔 피싱 웹페이지로 접속하게 된다. 악성 이메일은 한글 또는 영문 형태가 모두 확인되었다. 사용자의 주의가 필요하다.

특징적으로 공격자는 피싱 웹페이지를 구축하기 위해 ‘appdomain.cloud’ 이라는 IBM 클라우드 서비스를 이용하였다. 최근 공격자는 클라우드 기반으로 자유롭게 도메인을 구축할 수 있는 서비스를 악용하여 피싱 공격에 활용하고 있다. 사용자가 접속한 페이지가 인증된 정상 웹사이트가 아닌 클라우드 도메인이라면 특히 의심해볼 필요가 있다.

아래는 이메일에 포함된 악성 링크를 클릭했을 때 접속하는 피싱 웹페이지이다. 정상적인 WeTransfer 사이트와 달리 appdomain.cloud 하위 사이트로 접속한다. 접속 화면은 정상 사이트와 매우 유사하게 제작되었기 때문에 접속한 URL 주소를 신경써서 보지 않는다면, 공격에 이용당할 수 있다. 아래 화면 중 가장 마지막 화면만 정상 WeTransfer 이다.

악성 피싱 WeTransfer 접속 화면
정상 WeTransfer 접속 화면

공격자는 사용자가에게 이메일 계정 ID와 패스워드 입력을 요구하며, 이를 입력할시 공격자 서버로 전송된다. C&C 주소를 토대로 보아 해외 온라인 스토어 웹서버를 탈취하여 공격에 이용한 것으로 추정된다.

이메일 본문 내용과 웹페이지 접속 화면만으로는 일반 사용자가 이를 악성임을 확인하기가 매우 어렵다. 따라서 불분명한 사용자가 보낸 이메일일 경우 이를 신뢰하지 않고, 접속 URL 주소를 확인하는 습관이 필요하다. 안랩 V3 제품에서는 사전에 인지하고 있는 악성 피싱 웹페이지로 사용자사 접속할 때 이를 차단한다. 또한 이메일에 첨부되있는 악성 실행 파일을 진단한다.

[관련 IoC]
hxxps://wetransfego.eu-gb.cf.appdomain.cloud
hxxps://piaofenixstore.com.br/all/odego.php

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments