국내 유명 항공사로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 항공사를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱 메일은 항공권 결제에 대한 내용을 공지하며 자세한 항공권 가격과 사전 정보를 파악한 것으로 추정되는 내용과 함께 위장한 피싱 사이트 접속을 유도한다.

메일 제목 및 본문은 아래와 같다.

[그림 1] 메일 제목 및 본문 내용

본문에 첨부된 HTML파일을 확인하면, 아래와 같이 국내 유명 항공사로 위장한 피싱 사이트로 연결된다.

[그림 2] 피싱 사이트

해당 사이트는 국내 유명 항공사 경영 지원 부서의 출처로 위장하였으며, 항공권 확인증 PDF 출력을 요구하는 내용과 함께 피해자의 계정 정보 입력을 요구한다.

[그림 3] 피싱 사이트 HTML 코드의 일부

이 과정에서 사용자가 패스워드를 입력하고 명세서 확인하기 버튼을 클릭하면, 아래와 같이 공격자의 서버로 수집한 계정 정보를 전송한다.

[그림 4] 계정 정보 전송

이와같이 정교한 내용으로 유포되는 피싱 메일에 대한 피해를 예방하기 위해서는 불분명한 메일에 대한 첨부 파일 열람 시에 사용자의 각별한 주의가 필요하다.

현재 안랩에서는 해당 피싱사이트와 관련된 도메인을 차단중이다.

[IOC 정보]

  • hxxps://ocostelaosantos[.]com.br/wp-content/plugins/vitor-teste/actions/crude/cross.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments