ASEC 분석팀은 다양한 기업을 사칭한 피싱 사이트들을 소개해왔다. 최근에는 해외 직구 시즌을 맞이하여 운송 회사인 Emirates Post 를 사칭한 악성 메일이 유포 중인 것을 확인하였다.
유포 중인 악성 메일은 아래와 같으며, 메일 내용에는 배송 주소에 문제가 있어 구매자에게 확인 및 반품을 요청하는 문구를 사용하였다. 해당 메일 내 “Tracking Number” 와 “Click Here” 문구에 악성 링크가 첨부되어 있으며, 해당 링크는 피싱 사이트로 연결된다. 또한 해당 링크는 24시간 내 만료된다는 메시지를 이용하여 사용자가 해당 링크를 클릭하도록 유도하고 있다.
메일 내 첨부되어 있는 링크 주소는 아래와 같다. 악성 사이트 주소는 정상 Emirates Post 사이트의 주소와 비슷하게 제작된 것을 확인할 수 있으며, 사용자는 정상 사이트로 착각할 수 있어 큰 주의가 필요하다.
- hxxps://emirates-ae-post-shipping.com/ (악성)
피싱 사이트로 접속시 아래와 같이 Emirates Post 사이트를 위장한 페이지를 확인할 수 있으며, 배송 상태를 확인하기 위해 사용자의 전화번호를 입력하도록 유도하고 있다.
해당 페이지에서 사용자의 전화번호를 입력 후 Continue 버튼을 클릭하게 되면 아래 url 로 리다이렉트 된다. 리다이렉트된 페이지에서는 입력한 전화번호로 전송된 4자리 숫자를 입력하도록 유도하고 있다. 이때 어떠한 숫자를 입력해도 다음 페이지로 넘어가는 것을 확인하였다.
- hxxps://emirates-ae-post-shipping.com/smsphone2.php
이후 데이터 입력을 마치고 Confirm 버튼을 클릭하게 되면, 이전과 동일한 형태로 사용자 정보를 추가 입력하는 페이지로 리다이렉트 된다. 아래 그림과 주소는 데이터 입력 후 버튼 클릭시 리다이렉트되는 페이지를 순서대로 나타낸다. 사용자 집주소와 카드 정보를 순서대로 입력하도록 유도하는 것을 확인할 수 있다.
- hxxps://emirates-ae-post-shipping.com/index4.php
- hxxps://emirates-ae-post-shipping.com/index2.php
마지막으로 리다이렉트되는 페이지는 아래와 같으며, 사용자 전화번호로 전송된 코드를 입력하도록 한다.
- hxxps://emirates-ae-post-shipping.com/sms.php
최근 해외 직구 시즌을 맞아 배송과 관련된 문구를 포함한 악성 메일 유포가 증가하고 있으며, 사용자의 카드 정보까지 유출되어 금전적 피해가 발생할 수 있다. 사용자는 출처가 불분명한 메일의 경우 첨부 파일 및 메일에 포함된 url 은 실행하지 않도록 해야한다.
[관련 IOC 정보]
- hxxps://emirates-ae-post-shipping.com/
- hxxps://emirates-ae-post-shipping.com/smsphone2.php
- hxxps://emirates-ae-post-shipping.com/index4.php
- hxxps://emirates-ae-post-shipping.com/index2.php
- hxxps://emirates-ae-post-shipping.com/sms.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보