ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다.
해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다.
피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다.
지금까지 해당 웹메일로 위장한 피싱 사이트는 총 2개가 확인되었으며, 아직까지 확인되지 않은 주소가 더 있을 것으로 보인다.
| 계정 유출 URL – hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php – hxxps://trinimcvx.000webhostapp[.]com/post.php |
|---|
현재 V3 Lite에서는 아래와 같이 URL 차단을 통해 대응 하고 있다.
[ IOC 정보]
hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php
hxxps://trinimcvx.000webhostapp[.]com/post.php
9C3ADF3D9F1D5FFA55B3E45283494D4F
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보