ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다.
공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고 한다.



위의 그림과 같이 메일 내부에는 첨부 파일로 보이는 PDF 와 XLS 파일이 존재한다. 그림 영역을 선택한 점선 박스를 자세히 확인해보면 첨부 파일로 위장한 캡쳐 이미지 한 개에 하이퍼링크를 삽입한 것을 알 수 있다. 이미지 영역에 대해 실수로 한 번만 클릭하더라도 피싱 사이트로 이동하게 되는 것이다.
해당 하이퍼링크를 클릭하게 되면 한 번의 리다이렉션을 거쳐 계정정보를 입력하는 전형적인 피싱페이지로 연결된다.


ID 필드에는 수신인을 타겟으로 하여 입력이 되어있기 때문에 평소 사용하고 있는 비밀번호를 무심코 입력할 가능성이 있으며, 그렇게 입력한 ID와 PW는 공격자의 웹서버로 전송되는 것이 피싱메일의 전형적인 흐름이다.


HSBC 와 같은 알려진 금융권을 사칭하는 것은 지속적으로 확인되고 있는 대표적인 피싱 케이스이다. 비밀번호를 잊었을 경우에 클릭하는 ‘Forgot Password?’ 텍스트에는 별도 연결된 하이퍼링크가 존재하지 않는 것도 특징이라고 할 수 있다. 또한 여기서 주목할 만한 부분은, 패스워드를 입력 후 CONTINUE 버튼을 클릭했을 때 연결되는 계정정보 유출 페이지가 HSBC의 정상 웹페이지로 리다이렉션 되는 부분이다. 현재는 계정유출 페이지의 링크가 끊긴 관계로 유출되는 패킷은 확인할 수 없다.
사용자들은 출처가 불분명한 메일은 열람하지 않도록 주의가 필요하며, 사용하고 있는 백신 제품을 항상 최신 버전으로 업데이트하여 사용하려는 노력이 필요하다. 또한, 계정을 유출하려는 피싱 페이지의 동작 방식은 ASEC 블로그에서 지속적으로 소개하고 있는 것과 크게 다르지 않으므로 첨부파일을 통해 이동한 웹페이지에 계정정보를 입력해보는 시도는 하지 않는 경계심이 필요하다.
현재 V3에서는 해당 계정유출 페이지에 대한 접근을 차단하고 있으며, 두 번째 사례와 같이 피싱메일 내부에서 내려받은 HTM 파일에 대해서는 아래와 같이 진단하고 있다.
[파일 진단]
Phishing/HTML.Generic.S1156
[IOC]
hxxp://admin.cmxparts[.]com/vendor/phpunit/phpunit/src/util/au/excel/excel/index.php
Categories:악성코드 정보