국내 메일 서비스 사용자 타겟 피싱 사이트(2)

그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다.

최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다.

[그림 1] (좌)지난 블로그 사이트, (우)최근 사이트

최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다.

[그림 2] (좌)과거 피싱 사이트, (우)최신 사이트

또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다.

[표 1] hxxp://zaifi*plce[.]com/better/back/ 하위 디렉토리 구조 및 설명
[표 2] 정보유출 메일주소와 유사한 스트링으로 구성된 디렉토리명

스크립트 코드상 기존과 큰 변화가 없으며, 다음과 같이 사용자의 정보를 특정 메일로 보내는 것을 알 수 있다.

[그림 3] 다음 메일 계정 발신 스크립트(royal.php) 일부

해당 게시글에서 설명 된 위 사이트 외에도 이러한 구조로 관리되고 있는 다른 도메인들의 사이트가 존재한다. 이렇게 다양한 피싱 스크립트들을 포함해 특정 도메인으로 구성하여 공격에 사용하는 것으로 보인다.

각 메일 서비스는 다양한 기업에서 사용하는 경우도 많아 각별한 주의가 필요하며 피싱 스크립트는 메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다.

[파일 진단]

  • Phishing/PHP.Generic

[IOC]

  • 메일 발신 주소

larrykolman123@gmail[.]com
kesslerbrian80@gmail[.]com
jasonbiden7@gmail[.]com
jacksonwill4500@gmail[.]com
alfredrichy85@gmail[.]com 
aalexdylaan@gmail[.]com   
ahmedwaris101@gmail[.]com

  • 파일 MD5

de9030f4f1e0796e5005546ffc70ebda
3ffc647553d2b619edbc4f8d91e07760
919f244f15bcbf7a78720780ad2c5a41
028cd20833cfee20bc1dc4059c44aafe
4c60f22dff46a25a235698a28bbac19b
c7cc37fcd43fd06bd3766f254d7c11cf
2d437adbb81d6824ac735cc63d36c228
980e3483f9072a756a6beb80c21fac95
32bded85b6cd7da62fc0bbe25c2e6f63
1256fd91aa3dc53ba1e9c85e0825a6f2
6364c2d3ec1e745c9ad3aa71ccac3c13

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments