엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)

ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다.

피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다. 메일의 본문 내용에는 마치 신뢰할 수 있는 금융기관인 것처럼 보이는 것을 볼 때, 정상적으로 사용된 메일을 악용한 것으로 추정된다.

[그림 1] 피싱메일 내용

첨부 파일은 HTML 파일(Advice.htm)로 되어 있으며, 실행해보면 아래와 같은 창이 뜨게 된다.

[그림 2] 악성 피싱 파일 실행

HTML 파일 내부에는 엑셀 파일로 보여지기 위한 이미지가 존재하며, 엑셀 내용을 보기 위해서는 로그인을 해달라는 문구와 함께 로그인 창이 뜨게되며, 공격대상 메일 주소가 자동으로 기입되어 있다.

해당 메일 계정에 대한 비밀번호를 입력 후 View Document 버튼을 클릭하면, 아래와 같이 진행 중 바가 뜨면서 다시 로그인 창이 뜨게되며, 그 상태에서 다시 입력하게 되면 구글 페이지로 이동하게 된다.

[그림 3] 계정정보 입력

일반 사용자는 해당 정보가 어디로 보내지는지 알 수가 없으며, 배경화면에 엑셀 그림이 있어 마치 로그인을 해야만 해당 문서를 볼 수 있을 것처럼 해놨기 때문에 착각하기 쉽다. 사용자가 입력한 계정 정보는 아래와 같이 특정 URL로 전송되어 지며, 추후 공격자가 이를 이용하여 정보를 탈취하는 추가 공격이 발생할 수 있다.

이처럼 공격자는 사용자의 계정 정보를 탈취 하기 위하여 피싱 페이지를 만들어서 메일에 첨부하여 유포하고 있다. 사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함 된 URL을 클릭하지 않도록 주의해야한다.

현재 V3 Lite에서는 아래와 같이 악성 첨부 파일 진단 및 URL 차단을 통해 대응 하고 있다.

[파일 진단]
– Phishing/HTML.FakeExcel

[관련 IOC 정보]
– 3b91bc62d617b38f2933c81fd8356ad0
– 1004edc8e85bfdaffec7d225b1c178ee
– hxxps://gigamix.hu/payee/file/exex/next.php

Categories:악성코드 정보

Tagged as:, , ,

4.7 3 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments