최근 ASEC 분석팀은 Microsoft 로그인 페이지를 위장한 피싱메일 유입 정황을 포착하였다.
수집된 피싱메일 샘플은 아래의 그림과 같이 해당 기업의 보이스 메시지를 위장하여, playback 파일열람 첨부파일의 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일을 클릭할 경우 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다.
또 다른 샘플은 스캐너를 통해 전송된 파일로 위장하여, 첨부파일 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일 클릭 시, 마찬가지로 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다.
두 샘플 모두 첨부파일 클릭 시, 각각 [그림 3], [그림 4]와 같이 Microsoft 로그인 페이지와 유사하게 제작된 화면으로 이동한다. 해당 페이지는 대상 메일주소가 이미 입력된 상태로 로그인 과정이 진행되도록 구성되어 있다. 추가적으로 [그림 4]의 샘플의 경우, 자동 로그인 과정을 위장한 화면이 먼저 출력되며, 이후 자동 로그인 실패로 인해 사용자의 계정정보를 요구하는 피싱 화면으로 이동하는 과정이 추가된다. 이는 실제 Microsoft 사의 로그인 프로세스와 유사하게 구성되어, 사용자가 비밀번호 입력 칸에 무심코 비밀번호를 입력하게 될 가능성이 있다.
두 샘플 모두 피싱 페이지는 [그림 5]와 같이 스크립트 내의 퍼센트 인코딩 문자열을 디코딩하여 DOM에 작성하는 형태로 구성되며, 이와 같은 디코딩 과정이 반복적으로 수행된다. unescape를 통해 인코딩 해제 시 [그림 6]과 같이 최종적으로 렌더링될 HTML을 확인할 수 있다.
해당 피싱 사이트에 비밀번호 입력 후 로그인 버튼을 클릭하면, 아래의 그림과 같이 Microsoft 사의 서비스와는 관계없는 공격자의 서버로 비밀번호가 전송된다.
공격자는 탈취한 계정정보를 활용하여 해당 기업 사용자의 메일 계정에 접근이 가능할 수 있으며, 이를 통해 기업 내 민감정보 탈취가 야기될 수 있기에 각별한 주의가 필요하다.
사용자는 출처를 알 수 없는 메일에 포함된 첨부파일에 대한 열람을 자제해야하며, 불분명한 웹 페이지에 계정정보를 입력하지 않도록 주의해야한다.
현재 안랩에서는 해당 피싱페이지의 도메인을 차단중이다.
[IOC]
– hxxps://highestindroom2021[.]com/x/data.php
– hxxps://ivghsot[.]com/lab.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
Good