Posted By ASEC , 2021년 10월 5일

‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱

최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다.

스팸 메일로 전파되는 피싱 악성코드 동향 – ASEC BLOG

안랩은 여러 고객사로부터 매일 수십 개의 피싱 유형 스팸 메일을 수집하고 있다. 피싱 유형 스팸 메일은 크게 두가지로 나눠진다. 첫 번째는 개인 정보 회신을 요구하는 등 본문 내용 자체가 거짓인 유형이다. 두 번째는 메일 본문에 피싱 사이트 접속 주소를 포함해 사용자의 접속을 유도하거나 피싱 사이트 스크립트 파일을 첨부파일로 포함한 유형이다. 본 내용에서는 보안 제품 레벨에서 차단이 필요한 두번째 유형에 대해 피해 현황 및 피싱형 악성코드 특징에 관해 설명한다. 메일 본문에 포함된 피싱 사이트 주소에 접속했을 때, 또는 첨부된 HT…

이번에도 그와 유사하게 사용자의 다음(Daum)계정 정보 유출을 목적으로 하는 피싱 메일이 확인되었다. 해당 메일은 아래 [그림1]과 같이 특정 학교를 수신, 발신으로 설정하여 유포한 것으로 보아 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다.

구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum)계정 정보를 입력하도록 유도한다. 아래의 좌측 화면이 첨부된 HTML 스크립트 실행시 확인되는 페이지이다. 정상의 우측 화면과 비교했을 때 확연히 차이가 나지만 의심없이 스크립트를 실행할 경우 정상적인 페이지로 오해하기 쉽다.

사용자 ID와 패스워드를 입력후 로그인 버튼을 클릭하면 사용자 정보는 특정 주소로 유출되며, 유출된 ID와 패스워드들은 아래와 같이 공격자가 구축해둔 서버에 접속 국가 및 접속 시간 정보와 함께 저장된다.

정보 유출 URL : hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
수집된 정보 업로드 URL : hxxps://bo***ken**[.]com/start/startup/setup/name.txt

이렇듯 사용자들은 발신인이 의심되지 않는 경우라도 불분명한 메일일 경우 첨부파일 혹은 내부의 URL을 접속시 매우 많은 주의가 필요하다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야한다. 자사 제품에서는 본문에 언급된 스크립트 파일을 아래와 같이 탐지 중이다.

[파일 진단]