단축 도메인을 악용하는 기관 사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱 메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 첨부된 파일에서 동일류로 판단되는 피싱 메일이 다량으로 유포되고 있는 정황이 포착되었다.

해당류의 피싱 메일의 특징은 최종적으로 연결되는 피싱사이트의 HTML 파일 구조는 다르지만, 메일에 첨부된 리다이렉션 기능의 HTML 파일의 구조가 동일하고, 특정 단축 도메인(chilp.it)을 사용하여 피싱 페이지의 URL 을 은닉하는 특징을 보인다. 서로 다른 두 개의 피싱 메일을 통해 동일 류로 판단되는 구조적인 특징을 설명한다.

[그림 1] 피싱 메일 화면 1

[그림 2] 피싱 메일 화면 2

아래 [그림 3], [그림 4]는 위 [그림 1], [그림 2]의 피싱 메일에 첨부된 HTML 파일로 두 파일은 동일하게 실행 시 3초 후에 피싱 페이지로 연결(Redirection) 기능을 수행하며, 문법 또한 동일한 구조를 가진다. 눈에 띄는 특징으로 특정 단축 도메인(chilp.it)을 활용하여 리다이렉션 목적 URL을 스크립트 내에서 은닉시킨다.

[그림 3] 피싱 메일 1 에 첨부된 HTML 스크립트(피싱 페이지로 리다이렉션)

[그림 4] 피싱 메일 2 에 첨부된 HTML 스크립트(피싱 페이지로 리다이렉션)

[그림 5], [그림 6]은 위 두 가지 사례에서 연결된(Redirection) 계정 로그인 피싱 HTML 파일이다. 두 스크립트 모두 ID 필드에는 수신인의 Email 주소가 입력되어있기 때문에 평소 사용하고 있는 비밀번호를 무심코 입력할 가능성이 있다.

[그림 5] 피싱 메일 1 에서 연결된 피싱 페이지
[그림 6] 피싱 메일 2 에서 연결된 피싱 페이지

[그림 7]은 첫 번째 피싱사이트의 로그인 정보 유출 HTML 파일로 악성 URL 및 키워드를 노출 시키지 않기 위해 부분적인 난독화가 되어 있다. [그림 8]은 난독화 해제된 모습으로, 빨간 박스의 추가 자바스크립트 URL(app.js)이 존재를 확인 할 수 있다. [그림 9]는 추가 자바 스크립트(app.js) 의 내용으로, 로그인 정보를 C2로 전송하는 기능이 존재한다.

[그림 7] 피싱 메일 1 에서 연결된 피싱 페이지의 계정 유출 HTML 파일 (난독화)
[그림 8] 피싱 메일 1 에서 연결된 피싱 페이지의 계정 유출 HTML 파일 (난독화 해제)
[그림 9] app.js (로그인 정보 전송 기능)

[그림 10]은 두 번째 피싱 사이트의 로그인 정보 유출 HTML 파일로 해당 경우는 난독화 없이 C2 주소가 스크립트 내 직접 노출되는 특징이 있다.

[그림 10] 피싱 메일 2 에서 연결된 피싱 페이지의 계정 유출 HTML 파일

2가지 이메일 사례를 살펴보면 메일 발신인이 동일하고 첨부된 HTML 파일에서 특정 단축 도메인을 사용하는 특징을 확인하였다. 하지만, 동작 방식에서는 서로 차이가 있으며, 최종적으로 연결되는 피싱 페이지는 다양한 형태가 있음을 알 수 있다.

사용자들은 출처가 불분명한 메일은 열람하지 않도록 주의가 필요하며, 사용하고 있는 백신 제품을 항상 최신 버전으로 업데이트하여 사용하려는 노력이 필요하다. 또한, 계정을 유출하려는 피싱 페이지의 동작 방식은 ASEC 블로그에서 지속적으로 소개하고 있는 것과 크게 다르지 않으므로 첨부파일을 통해 이동한 웹페이지에 계정정보를 입력해보는 시도는 하지 않는 경계심이 필요하다.

현재 V3 Lite에서는 아래와 같이 URL 차단을 통해 대응하고 있다.

[관련 IOC 정보]
– hxxps://blubbery-stake.000webhostapp.com/3/aspx.php
– hxxps://flamboyant-borg.95-216-216-13.plesk.page/froum_do/wp-content/uploads/2021/09/gate.php

Categories:악성코드 정보

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments