ASEC 분석팀에서는 국내 연구기관과 기업을 대상으로 패스워드를 탈취하는 피싱메일 유포를 확인하였다. 해당 피싱메일은 국제 운송 업체를 사칭하였으며 통관 정보 제출, 첨부파일 열람 등을 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 포함된 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 페이지로 연결된다. 동일한 도메인을 사용하여 연구 기관 뿐만 아니라 다수의 기업을 대상으로 유포된 정황도 확인되어 주의가 필요하다.
수집된 샘플은 다음과 같이 화물 도착(예정) 안내 메일을 위장하고 있으며 유명 해외 운송기업을 사칭하였다. 본문에서는 통관 정보를 입력하기 위해 링크를 클릭하도록 유도하며, 해당 링크를 클릭할 경우 피싱 페이지로 연결된다.
또 다른 샘플에서는 다음 그림과 같이 메일 본문에 첨부파일이 존재하는 것처럼 보이게 위장하였다. 첨부파일 정보가 보이는 부분은 실제로는 그림 파일이며 하이퍼링크를 삽입하여 클릭 시 피싱 페이지로 연결되도록 구성하였다. 마찬가지로 유명 운송 업체를 사칭하였다.
피싱 페이지에서는 세션이 만료되었다는 메시지를 표기하며 비밀번호 입력을 유도한다. 사용자가 입력한 비밀번호는 GET 방식을 통해 공격자의 서버로 전송된다. 위 샘플들에서 사용된 피싱 페이지의 주소 형식은 다음과 같다.
http://survoltropic[.]pt/consequuntursed/koream/koream.php?main_domain=[리디렉션URL]&email=[메일 계정]&subdomain=[URL]피싱 페이지는 Iframe을 통해 [리디렉션 URL]의 페이지를 로드하여 출력한 후 그 위에 오버레이를 덮어 비활성화된 것처럼 보이도록 한다.
이후 비밀번호 입력 폼이 포함된 객체를 로드하는데, 해당 객체에서 [리디렉션 URL]의 Favicon을 출력하고 메일 수신자의 계정 정보를 포함한다. 결과적으로 실제 웹 메일 서비스의 세션 만료 알람으로 보이도록 위장한 것이다. 비밀번호 폼에 6자 이상의 데이터를 입력 후 로그인 버튼을 누르는 과정을 두 번 시도한 경우 [리디렉션 URL]로 이동한다.
아래 예시에서는 배경으로 ASEC 블로그가 출력되었지만 실제 유포 케이스에서는 공격 대상 기업의 메일 서비스 화면이 출력된다.
동일한 도메인을 사용한 공격에서 국내 연구기관 및 기업 뿐만아니라 해외 지방 정부 등을 대상으로한 샘플도 발견되어 사용자의 주의가 필요하다. 불분명한 메일에 대해서는 첨부파일 열람을 자제해야 하며 절대 개인정보를 입력해서는 안된다.
한편 안랩에서는 해당 피싱페이지의 도메인을 차단 중이다.
[IOC 정보]
- hxxp://survoltropic[.]pt
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보