국세청 위장 메일을 통해 확인된 피싱 웹 서버

ASEC 분석팀에서는 최근 국세청을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 해당 피싱메일은 사내 메일의 비밀번호가 당일에 만료된다는 시급성을 강조하며, 계정이 잠기기 전에 암호를 유지하라는 내용으로 유포되고 있었다.  

그림 1) 원문 메일

그림 2) 계정 입력 피싱 사이트

그림 3) 로그인 페이지의 소스코드

‘같은 비밀번호를 유지라는 URL을 클릭하면 사내 메일 로그인 페이지가 확인되는데, 해당 로그인 페이지의 HTML 스크립트 코드는 위와 같다. 코드에서 확인할 수 있듯이, 사용자가 로그인을 하면 사용자의 계정정보가 공격자의 서버로 유출되는 형식을 띠고 있다.

그림 4) 공격자의 서버

  • 피싱 페이지 주소 : hxxps://cloudflare-ipfs[.]com/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html#[사용자이메일주소]
  • 사용자 유출 주소 : hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php

사용자들은 메일 뿐 아니라 페이지 자체의 URL이 정상적인 도메인인지 확인 및 주의가 필요하다. 실제 이번 사례의 최상위 도메인 접속 시 피싱을 위한 구성 파일들이 업로드되어 있는 웹 서버를 확인 할 수 있었다.

그림4와 같이 공격자가 여러 피싱 사이트들을 만들 때 사용한 것으로 보이는 파일들이 있었으며 특정 디렉토리에는 미국의 한 은행을 위장하여 피싱을 수행하기 위한 스크립트 파일들 다수가 정교하게 만들어져 있었다. 특히 로그인 페이지의 경우, 일반 사용자가 확인했을 때 은행의 실제 웹 페이지와 차이를 느끼지 못할 만큼 높은 유사성을 보였다.

그림 5) 은행 웹서버에 쓰인 파일들

아래부터 차례대로 공격자가 피싱을 위해 만든 로그인 페이지(1), 개인정보 기입 페이지(2), 카드 정보기입 페이지(3 )각각 공격자에게 개인정보가 전달되는 방식에 대하여 설명한다. 이 외에도 사용자 email 정보 기입 페이지, email 계정에 대한 보안 질문 페이지가 추가적으로 존재한다.

  1. 로그인 페이지 

그림 6) 로그인 페이지

로그인 페이지에서 사용자가 계정 정보를 입력하면, 입력된 계정 정보는 공격자가 만들어둔 darkx/mainnet.php 로 전송된다. php 사이트에서는 그림 7에서처럼 사용자의 계정 정보와 IP 정보를 받아서 txt 파일 형태로 저장하고, 동일한 정보를 텔레그램으로 보낸다.

그림 7) 로그인 페이지와 연결된 php 코드

결과적으로, 공격자가 각 피싱 페이지로부터 사용자의 개인정보를 수집하면 그림8과 같이 해당 페이지 명과 동일한 이름의 txt 파일에 페이지에서 수집된 정보들이 저장되는 것을 확인할 수 있다. 실제 login.html을 통해 로그인했던 사용자들의 계정 정보와 IP 정보가 login.txt 파일에 저장되어 있다.

그림 8) 개인정보가 저장되는 텍스트 파일

그림 9) 사용자들의 계정 정보가 저장된 login.txt 파일

  1. 개인정보 상세 기입 페이지

그림 10) 개인정보 상세 기입 페이지

그림 11) 상세 개인정보가 저장된 account_verify.txt 파일

개인정보 상세 기입 페이지에서도 사용자가 입력한 정보들이 공격자의 php 사이트로 보내지고, 공격자는 이를 txt 파일에 IP 정보와 함께 수집하는 것으로 확인된다. 이때, 공격자가 수집하는 개인 정보 중에는 우리나라의 주민등록번호와 같은 역할을 하는 사회보장번호(SSN)도 포함되어있어, 이러한 개인정보가 유출된다면 피해가 클 것으로 예상된다.

  1. 카드 정보 기입 페이지

그림 12) 카드 정보 기입 페이지

그림 13) 카드 정보가 저장된 credit_Verify.txt 파일

공격자가 만들어둔 카드 정보 기입 페이지에서 사용자가 정보를 입력하면, 은행 사용자의 신용 카드 번호, 카드 비밀번호, ATM 핀번호 등이 공격자로부터 마찬가지의 경로로 유출될 수 있다.

ASEC 분석팀이 이번에 찾아낸 공격자의 서버에는 은행을 사칭한 웹서버 외에도 모 기업의 로그인 페이지에 사용되는 PNG 이미지들, 미국의 특정 웹 호스팅 제공 업체의 로고 이미지가 있어, 공격자가 해당 사이트들도 유사 피싱 사이트를 만들었을 것으로 추측된다.

사용자를 속이기 위해 공격자들은 다양한 기업을 위장하여 정교하게 제작하고 있기 때문에 신뢰하지 않는 수신인으로부터 발송된 메일 열람을 자제해야하며, 특히 은행 피싱 사이트는 그 특수성 때문에 민감 정보 등을 포함한 다양한 개인정보가 유출될 수 있으므로 각별한 주의가 필요하다.

[IOC]
hxxps://cloudflare-ipfs[.]com/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html#
hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

3.3 7 votes
별점 주기
guest

1 댓글
Inline Feedbacks
View all comments
trackback

[…] 입력된 계정 정보들은 특정 C2로 정보가 전송되는데 이때 전송되는 주소가 지난주 게시된 피싱 웹서버 관련 블로그와 도메인이 동일하다. 동일 제작자가 다양한 형태로 제작하여 피싱 공격을 […]