국내 포털 사이트 Daum으로 위장한 피싱 메일

ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다.

[그림 1] 피싱 메일 본문

첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다.

  • hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php
[그림 2] 첨부된 HTML 파일의 소스 코드

리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱 페이지는 실제 로그인 페이지와 다르게 로그인 버튼 외 다른 버튼의 경우 정상적으로 동작하지 않는다.

[그림 3] 피싱 사이트(좌)와 실제 사이트(우) 비교

계정 정보를 입력 후 로그인을 하게 되면, [그림 4]와 같이 아래 URL에 입력한 계정 정보를 전달하게 되며, 그 후 로그인 페이지로 다시 이동하여 비밀번호가 틀렸다는 문구를 보여주고 사용자에게 다시 계정 정보를 입력 받도록 한다.

  • hxxps://kikicard[.]shop/0ragnar2/out.php
[그림 4] 로그인 버튼 클릭 시 전송되는 데이터

로그인 버튼을 클릭하여 한번 더 계정 정보를 전달하게 되면 계정 아이디의 도메인 주소로 리다이렉트되어 이동한다.

이와 같은 피싱 메일은 다양한 패턴이 존재하기 때문에 사용자들의 주의가 필요하다. 불분명한 메일에 대하여 첨부 파일을 열지 않도록 해야하며, 특히 로그인 창이 나왔을 때 주소를 꼭 확인하여 자신이 로그인 하는 대상 사이트와 맞는지 확인해야 한다.

현재 안랩 V3 제품은 해당 파일들에 대해 다음과 같이 진단하고 있다.

[그림 5] V3 진단 정보

[파일 진단]
Phishing/HTML.Generic

[IOC 정보]
b24b1202ed74b3d10c9e0be0945cff37
hxxps://kikicard[.]shop/0ragnar2/out.php
hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:, , ,

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments