ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다.
최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을 알 수 있다. 또한, 정상적인 Daum 고객센터의 Email 주소는 notice-master@daum.net으로 해당 메일에서는 blogdaum.net 로 도메인 주소만 교묘하게 변경하여 수신자가 쉽게 착각할 수 있다.
사용자가 메일에 존재하는 악성 URL을 클릭할 경우 아래와 같이 실제 사용자의 ID를 보여주며, 패스워드 입력을 요구하는 피싱 사이트로 연결된다.
해당 사이트는 정상 사이트와 매우 유사하게 꾸며져 있으며, 하위에 존재하는 서비스 약관/정책, 고객센터 등의 링크는 아래와 그림과 같이 실제 Daum의 페이지와 유사한 사이트로 연결되어 사용자가 피싱 사이트임을 인지하기 어렵다.
위와 같이 해당 피싱 사이트는 URL에는 정상 페이지의 주소가 난독화된 파라미터가 존재하여 일반 사용자가 실제 사이트와의 차이점을 찾기 어렵다.
| hxxp://nucleon.mireene.com/skin/faq/basic/member/?nil=[Base64 로 인코딩된 id] &q=aHR0cHM6Ly9jcy5kYXVtLm5ldC9mYXEvNTkuaHRtbA%3D%3D (복호화 시 https://cs.daum.net/faq/59.html) |
이처럼 공격자들은 사용자들이 알아차리기 어렵도록 정상 사이트와 상당히 유사한 피싱 사이트를 제공하며, 메일 역시 실제 운영자와 유사한 ID로 사칭하여 피싱 메일을 유포하고 있다. 사용자들은 출처가 불분명한 메일의 경우 열람을 자제하고 첨부파일 및 포함된 링크를 함부로 클릭하지 않도록 주의해야한다.
[관련 IOC 정보]
- 피싱 URL : hxxp://nucleon.mireene.com/skin/faq/basic/member/
Categories:악성코드 정보