스팸 메일로 전파되는 피싱 악성코드 동향

안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다. 본 내용에서는 보안 제품 레벨에서 차단이 필요한 두번째 유형에 대해 피해 현황 및 피싱형 악성코드 특징에 관해 설명한다.

메일 본문에 포함된 피싱 사이트 주소에 접속했을 때, 또는 첨부된 HTML 파일을 웹 브라우저를 통해 접속했을 때 사용자는 사내 계정 ID 또는 패스워드 등 개인 정보 입력을 요구하는 페이지로 접속하게 된다. 과거에는 이러한 피싱 형태가 정상 페이지와 비교했을 때 내용 및 어설픈 화면 구성 형태 등으로 인해 사용자가 의심할만한 부분이 많았다. 하지만 현재는 정상 사이트와 비교하였을 때 거의 똑같이 만들기 때문에, 개인 정보 입력 및 정보가 유출되고 나서도 이를 알기가 어렵다.

특히 기업 사용자를 대상으로 이러한 공격이 다수 시도되고 있기 때문에, 본 내용에서는 공격 형태 등에 대해 특징을 자세히 소개하여 공격으로 인한 피해를 최소화하고자 한다.

피해 현황

 

1) 고객 접수 메일 현황
 

안랩에 매일 스팸 메일을 접수하고 있는 OO 고객사 1일 접수 기준으로 하루에 약 10 ~ 30건 내외의 악성 스팸 메일이 접수되고 있다.

2) 악성코드 탐지 현황

안랩은 피싱 유형 악성코드를 탐지하기 위해 다양한 포인트를 이용하여 탐지 패턴을 반영하고 있다. 2021년 8월 한달동안 새롭게 반영한 패턴만으로 실제 고객 환경에서 탐지된 수량은 다음과 같다. 약 1천여 개 고객에게서 약 5,400건 이상의 피싱 유형 악성코드가 보고되었다.

5,420 Count 949 PCID

여기서 말하는 패턴은 1:1 단일 파일 진단이 아닌 1:N 다수의 파일을 진단할 수 있는 포괄적인 탐지 방식으로 한정한 것이다. 따라서 위 진단된 수량은 최소 건수이며, 단일 파일 탐지와 8월 이전에 반영한 패턴으로 탐지된 수량까지 포함한다면 피싱 유형 악성코드로 인한 피해는 이보다 훨씬 더 많을 것으로 보고 있다.

스팸 메일

 

1) 스팸 메일 사례

아래는 2021년 8월 한달동안 OO 고객사에 접수된 스팸 메일 일부 사례이다. 기업 외부로부터 메일을 자주 받는 사용자라면 의심 없이 악성 사이트에 접속할 가능성이 높다. 또한 사내 인프라 관련 메일을 위장한 사례도 확인되었다. 사내 인프라 관련은 메일 제목, 발송인, 본문에 사명을 포함한 경우가 많기 때문에 이를 신뢰할 가능성이 매우 높아서 주의가 필요하다.

피싱 사이트

 

1) 피싱 사이트 사례

아래는 스팸 메일 본문에 포함된 피싱 사이트 주소에 접속하거나 첨부된 HTML 파일을 웹 브라우저로 실행했을 때 보여지는 화면이다. 공통적으로 사용자 사내 계정 또는 유명 서비스 계정 정보 탈취를 목적으로 한다. 타이틀부터 배경 이미지까지 정교하게 만들어진 페이지가 많아 사용자가 정상 사이트로 착각하기 쉽다. 마치 인증 단계를 거치는 것처럼 일정시간 페이지 리다이렉션 하는 효과를 넣은 피싱 사이트도 최근 들어 자주 발견되고 있다.

안랩 대응 현황

피싱 유형은 메일에 첨부된 스크립트 파일 또는 피싱 사이트 접속 행위가 차단 대상이다. 안랩 제품군의 진단명은 다음과 같다. 진단은 계속해서 업데이트 되고 있기 때문에 일부 진단명만 나열한다.

Phishing/HTML.Generic.S1644 (2021.08.25.02)
Phishing/HTML.Generic.S1643 (2021.08.25.02)
Phishing/HTML.Generic.S1642 (2021.08.25.02)
Phishing/HTML.Generic.S1641 (2021.08.25.02)
Phishing/HTML.FakeExcel.S1632 (2021.08.23.02)
Phishing/HTML.FakeExcel.S1630 (2021.08.19.02)
Phishing/HTML.Redirect.S1621 (2021.08.13.02)
Phishing/HTML.Redirect.S1620 (2021.08.13.02)

 

MD5

04ef8dcac0699cc98ee2e3f63ec60d15

0d2dca7ee968e7f263b2edd0731c18af

10a2fd82ae872fa150256eb3079af6f2

1b09114f2475443c443d509f1f37a7e9

1b481f5e62271c12c5e64c2ddbbd7f34