ASEC 분석팀에서 지속적으로 피싱 메일에 대하여 모니터링을 수행하고 있다. 다수의 피싱 메일들이 확인되고 있는데, 사용자가 입력하는 본인 계정의 메일 서비스 종류에 따라 그에 해당하는 아이콘으로 변경되어 유포 중임을 확인하였다. 어제인 2023년 1월 16일 날짜로 유포된 메일로, 계정이 종료됨을 경고하며 다시 활성화가 필요할 시 ‘지금 재활성화하십시오‘ 링크를 클릭하도록 유도한다. 연결 된 피싱 페이지를 통해 사용자들의 이메일 계정 및 비밀번호가 유출된다.
[그림1] 유포 메일
이 때 연결된 페이지 상에서 기존과 다른 점이 확인된다. 기존에는 사용자의 메일 계정이 이미 자동 완성되어 있으며, 비밀번호만 입력하면 되는 형식이었다. 그런데 이번 피싱에서는 메일 계정까지 입력하도록 했다. 그런데 이 때 사용하는 @ 하위의 메일 서비스 종류에 따라 피싱 페이지의 아이콘이 변경된다. 이는 아래와 같이 구글 API를 이용하여 파비콘(favicon: favorites icon의 약자) 정보를 획득 할 수 있기 때문이다. 파비콘은 웹사이트나 웹페이지를 대표하는 아이콘으로, 아래의 URL 하위에 원하는 ‘사이트 주소’를 입력하면 구글에서 지원하는 해당 페이지의 파비콘을 얻을 수 있다.
- 연결 피싱 페이지 단축 URL : shorturl.at/DGNU2#******.lee@***.com
- 실제 피싱 페이지 URL : hxxps://ipfs[.]io/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html
- 구글 파비콘 : hxxps://www.google[.]com/s2/favicons?domain=’사이트 주소’
[그림2] 기존 유포 메일과 피싱 페이지
[그림3] NAVER 파비콘
[그림4] DAUM 파비콘
[그림5] google 파비콘
페이지 상 입력된 계정 정보들은 특정 C2로 정보가 전송되는데 이때 전송되는 주소가 지난주 게시된 피싱 웹서버 관련 블로그와 도메인이 동일하다. 동일 제작자가 다양한 형태로 제작하여 피싱 공격을 수행하는 것으로 추정된다. 다양한 형태로의 피싱 공격이 수행되므로 사용자들의 메일 열람에 각별한 주의가 필요할 것으로 보인다.
- C2 : hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php
[IOC 정보]
- hxxps://ipfs[.]io/ipfs/QmRgn9xHYkCoGyj39wQBwfYo7MZ2dtJEh1h9RQ5hcyBqGa?filename=logsinfo.html
- hxxps://jy****ud[.]com/service2/online/dollar/sure/logs/gen.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보