‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱

최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다.

이번에도 그와 유사하게 사용자의 다음(Daum)계정 정보 유출을 목적으로 하는 피싱 메일이 확인되었다. 해당 메일은 아래 [그림1]과 같이 특정 학교를 수신, 발신으로 설정하여 유포한 것으로 보아 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다.

[그림1] – 특정 학교를 대상으로 유포된 메일

구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum)계정 정보를 입력하도록 유도한다. 아래의 좌측 화면이 첨부된 HTML 스크립트 실행시 확인되는 페이지이다. 정상의 우측 화면과 비교했을 때 확연히 차이가 나지만 의심없이 스크립트를 실행할 경우 정상적인 페이지로 오해하기 쉽다.

[그림2] – 좌:피싱페이지, 우:정상페이지

사용자 ID와 패스워드를 입력후 로그인 버튼을 클릭하면 사용자 정보는 특정 주소로 유출되며, 유출된 ID와 패스워드들은 아래와 같이 공격자가 구축해둔 서버에 접속 국가 및 접속 시간 정보와 함께 저장된다.

  • 정보 유출 URL : hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
  • 수집된 정보 업로드 URL : hxxps://bo***ken**[.]com/start/startup/setup/name.txt
[그림3] – 피싱 사이트
[그림4] – 유출된 사용자 정보

이렇듯 사용자들은 발신인이 의심되지 않는 경우라도 불분명한 메일일 경우 첨부파일 혹은 내부의 URL을 접속시 매우 많은 주의가 필요하다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다. 자사 제품에서는 본문에 언급된 스크립트 파일을 아래와 같이 탐지 중이다.

[파일 진단]

  • Phishing/HTML.Generic

[IOC]

  • f1cd69021bac49587770fd487bb723fb
  • hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
  • hxxps://bo***ken**[.]com/start/startup/setup/name.txt

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments