기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다.

공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고 한다.

국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG

최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다…

메일서버 관리자 위장한 기업대상 피싱메일 유포 – ASEC BLOG

ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다. 피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되…

위의 그림과 같이 메일 내부에는 첨부 파일로 보이는 PDF 와 XLS 파일이 존재한다. 그림 영역을 선택한 점선 박스를 자세히 확인해보면 첨부 파일로 위장한 캡쳐 이미지 한 개에 하이퍼링크를 삽입한 것을 알 수 있다. 이미지 영역에 대해 실수로 한 번만 클릭하더라도 피싱 사이트로 이동하게 되는 것이다.

해당 하이퍼링크를 클릭하게 되면 한 번의 리다이렉션을 거쳐 계정정보를 입력하는 전형적인 피싱페이지로 연결된다.

ID 필드에는 수신인을 타겟으로 하여 입력이 되어있기 때문에 평소 사용하고 있는 비밀번호를 무심코 입력할 가능성이 있으며, 그렇게 입력한 ID와 PW는 공격자의 웹서버로 전송되는 것이 피싱메일의 전형적인 흐름이다.

HSBC 와 같은 알려진 금융권을 사칭하는 것은 지속적으로 확인되고 있는 대표적인 피싱 케이스이다. 비밀번호를 잊었을 경우에 클릭하는 ‘Forgot Password?’ 텍스트에는 별도 연결된 하이퍼링크가 존재하지 않는 것도 특징이라고 할 수 있다. 또한 여기서 주목할 만한 부분은, 패스워드를 입력 후 CONTINUE 버튼을 클릭했을 때 연결되는 계정정보 유출 페이지가 HSBC의 정상 웹페이지로 리다이렉션 되는 부분이다. 현재는 계정유출 페이지의 링크가 끊긴 관계로 유출되는 패킷은 확인할 수 없다.

사용자들은 출처가 불분명한 메일은 열람하지 않도록 주의가 필요하며, 사용하고 있는 백신 제품을 항상 최신 버전으로 업데이트하여 사용하려는 노력이 필요하다. 또한, 계정을 유출하려는 피싱 페이지의 동작 방식은 ASEC 블로그에서 지속적으로 소개하고 있는 것과 크게 다르지 않으므로 첨부파일을 통해 이동한 웹페이지에 계정정보를 입력해보는 시도는 하지 않는 경계심이 필요하다.

현재 V3에서는 해당 계정유출 페이지에 대한 접근을 차단하고 있으며, 두 번째 사례와 같이 피싱메일 내부에서 내려받은 HTM 파일에 대해서는 아래와 같이 진단하고 있다.

[파일 진단]

Phishing/HTML.Generic.S1156

[IOC]

hxxp://admin.cmxparts[.]com/vendor/phpunit/phpunit/src/util/au/excel/excel/index.php