기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다.

피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수 있도록 해라”라는 문구가 적혀있다.

[그림 1] 피싱 메일 본문

“KEEP YOUR PASSWORD” 문구를 클릭하면 아래 그림과 같이 Microsoft 로그인 화면과 동일한 화면이 뜨며, 실제 Microsoft 로그인 하는 과정과 비슷하게 메일 주소는 이미 입력된 상태로 되어있어 사용자가 비밀번호 입력 칸에 무심코 비밀번호를 입력할 가능성이 있다.

[그림 2] 피싱 사이트

비밀번호를 입력 후 로그인 버튼을 클릭하면 아래와 같이 Microsoft와는 전혀 상관없는 공격자의 서버로 비밀번호가 보내지게 되며, 로그인 창에는 “로그인 시도 시간 초과, 비밀번호 재확인”이라는 문구가 떠서 사용자에게 비밀번호를 재차 입력하도록 유도한다.

[그림 3] 공격자의 서버로 비밀번호 전송

공격자는 획득한 계정정보를 통하여 사용자의 메일 계정에 접근할 수 있게되며, 특히 기업 사용자를 대상으로 하는 이번 공격의 경우 기업 계정정보 탈취 시 기업 내 민감정보까지도 탈취가 가능하기 때문에 각별한 주의가 필요하다.

사용자들은 출처를 알 수 없는 메일의 경우 열람 시 첨부파일이나 메일에 포함 된 URL을 클릭하지 않도록 주의해야한다.

[IOC]
– hxxps://www.secretemailsystem[.]com/ROO/
– hxxps://umu.ac[.]ug/ROO/

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments