국내 메일 서비스 사용자 타겟 피싱 사이트(2)
그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다.
국내 메일 서비스 사용자 타겟 피싱 사이트 – ASEC BLOG
최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다…
최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다.
[그림 1] (좌)지난 블로그 사이트, (우)최근 사이트
최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다.
[그림 2] (좌)과거 피싱 사이트, (우)최신 사이트
또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다.
[표 1] hxxp://zaifi*plce[.]com/better/back/ 하위 디렉토리 구조 및 설명
[표 2] 정보유출 메일주소와 유사한 스트링으로 구성된 디렉토리명
스크립트 코드상 기존과 큰 변화가 없으며, 다음과 같이 사용자의 정보를 특정 메일로 보내는 것을 알 수 있다.
[그림 3] 다음 메일 계정 발신 스크립트(royal.php) 일부
해당 게시글에서 설명 된 위 사이트 외에도 이러한 구조로 관리되고 있는 다른 도메인들의 사이트가 존재한다. 이렇게 다양한 피싱 스크립트들을 포함해 특정 도메인으로 구성하여 공격에 사용하는 것으로 보인다.
각 메일 서비스는 다양한 기업에서 사용하는 경우도 많아 각별한 주의가 필요하며 피싱 스크립트는 메일을 통해 유포되기 때문에 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다.
[파일 진단]
- Phishing/PHP.Generic
