안랩을 사칭한 피싱 이메일이 유포중이다. 3월 19일 오전 접수된 이메일 파일에 따르면 공격자는 ‘안랩몰’을 사칭하여 이메일을 발송하였다. 공격자는 TMON(티몬), 정부 산하 에너지경제연구원 등 다수의 기업과 공공기관을 대상으로 이메일을 발송하고 있는 것으로 보인다.
- 제목: [견적서] 주식회사 안랩입니다.
- 발송자: AhnLab (csadmin@rm.ahnlab.com)
‘[견적서 다운로드 (클릭)]]’ 부분을 클릭하면 피싱 페이지로 이동한다. 접속 주소는 메일 수신 대상에 따라 변경된다.
hxxp://f0524671.xsph.ru/korea/korea/index.php?email='메일수신대상'접속 이후에는 메일한 수신한 사용자의 ID/Password 입력을 요구하고 아래 주소로 정보를 전송한다. 공격자는 사용자의 계정 정보 유출을 목적으로 한다.
hxxp://f0524671.xsph.ru/korea/korea/login.php
안랩몰의 견적 메일은 견적을 요청한 사용자에 한해서만 발송된다. 따라서 견적서를 요청하지 않은 사용자가 해당 메일을 수신할 경우, 즉시 이메일을 삭제하길 권장한다.
[IOC 정보]
- hxxp://f0524671.xsph.ru/korea/korea/index.php
- hxxp://f0524671.xsph.ru/korea/korea/login.php
- hxxp://f0524671.xsph.ru
Categories:악성코드 정보