메일서버 관리자 위장한 기업대상 피싱메일 유포

ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다. 

피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되기 전에 메시지를 검토해라”는 내용을 담고 있다.

[그림 1] 피싱메일 내용

피싱 사이트는 아래와 같이 특정 기업의 로그인 페이지로 위장하고 있으며 공격대상 메일 주소가 자동으로 기입되어 있다.

[그림 2] 메일 본문 첨부된 링크 버튼(Review) 클릭 시 피싱 사이트 연결

해당 메일 계정에 대한 비밀번호를 입력 후 LOGIN 버튼을 클릭하면, 공격자의 서버로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다.

[그림 3] 계정정보 탈취
[그림 4] 정상 사이트로 이동.

이처럼 공격자는 사용자의 계정 정보를 탈취 하기 위하여 피싱 페이지의 링크를 메일에 첨부하여 유포하고 있다. 사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함 된 URL을 클릭하지 않도록 주의해야한다.

현재 V3 Lite에서는 아래와 같이 URL 차단을 통해 대응 하고 있다.

[관련 IOC 정보]
– 779FCD6D7CBAA4AB3336B44723D1531A
– hxxps://tapro-trgovina.com/Chinaguyeurope9/china9.php
– hxxps://firebasestorage.googleapis.com/v0/b/xffvfvkv—-0765fvhxnnccn.appspot.com/o/-%3D%5B%5D”%5D%5B%23%23%24%40ch9%24%25%24%23%40%5D’%3B.%3D.html?alt=media&token=8ed2f343-34e4-405d-99ca-d963399a5f71#yo.lee@hansol.com

Categories:악성코드 정보

Tagged as:, ,

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments