국내 유명 포털 서비스로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 포털 서비스를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 해당 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다.

메일 제목 및 본문은 아래와 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다.

[그림 1] 메일 제목 / 본문 내용

본문 메일에 연결된 링크로 접속하면, 아래와 같은 국내 유명 포털 서비스를 사칭한 피싱사이트로 연결된다.

  • 피싱 사이트 URL : hxxp://www.eylulrentacar[.]com/indexh.html
[그림 2] 피싱 사이트

정상적인 포털 서비스 로그인 사이트와 달리 피싱 사이트는 일회용 번호, QR코드, 비밀번호 찾기, 아이디 찾기, 회원가입과 같은 기능을 제공하지 않는 것으로 확인할 수 있다.

[그림 3] 정상 사이트의 일회용 번호, QR코드 로그인 기능

이후 피싱 사이트에서는 로그인 버튼을 통해 checkInput 함수가 활성화된다. checkInput 함수는 패스워드가 입력되어있는지 확인 후, send 함수를 통해 수집한 정보를 공격자의 서버로 전송한다.

[그림 4] 계정 정보 전송
[그림 5] 계정 정보 전송 – 2
  • C2 서버 : hxxps://v2.faj[.]ma/wordpress/wp-includes/js/tinymce/plugins/wordpress/plugins.php

또한, send 함수는 계정 정보를 공격자의 서버로 전송할 뿐만 아니라 해당 과정의 빈도를 count라는 변수로 체크하여 전송을 이미 시도한 피싱 사이트는 감시를 피하기 위해 정상적인 포털사이트 로그인 페이지로 리다이렉트하는 모습을 보인다.

[그림 6] send 함수

이와 같은 피싱 메일에 대한 피해를 예방하기 위해서는 불분명한 메일에 대한 링크 연결 시에 해당 연결되는 링크의 URL 주소 및 해당 사이트의 기능들이 정상 작동 여부 확인을 통한 사용자의 주의가 필요하다.

현재 안랩에서는 해당 피싱사이트의 도메인을 차단중이다.

[IOC 정보]

  • hxxp://www.eylulrentacar[.]com/indexh.html
  • hxxps://v2.faj[.]ma/wordpress/wp-includes/js/tinymce/plugins/wordpress/plugins.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments