최근 ASEC 분석팀에서는 제품의 견적 의뢰를 요청한다는 내용으로 피싱메일들을 모니터링하였다. 해당 피싱 메일들은 공통적으로 제조업체나 주물공장의 팀장, 부장과 같이 높은 직책의 관리자가 보낸 것처럼 위장하고 있다. 또한 첨부파일이 있었는데, .html과 .htm이었다. 이 글에서는 대표적인 두 가지 견적의뢰 위장 피싱메일에 대한 정보를 전달한다. 편의상 1번 피싱 메일, 2번 피싱 메일로 명명하여 작성하였다.
[그림 1] 유포 중인 1번 피싱 메일
[그림 2] 첨부파일 .html
1번 피싱 메일의 .html 첨부파일을 열어보면, 계정 로그인을 요구하는 화면을 확인할 수 있다. 제품에 대한 견적 의뢰를 요청하는 메일 내용처럼 ‘orders’ 라는 내용의 시트처럼 보여지도록 했다.
[그림 3] 계정 로그인 후
임의로 계정 로그인을 시도해보면, 구글 독스의 이미지로 터널링되는 것을 확인할 수 있다. 두 번째 피싱 메일의 내용은 아래와 같다.
[그림 4] 유포 중인 2번 피싱 메일
유포 중인 2번 피싱 메일도, 마찬가지로 첨부한 .htm 파일에 있는 제품 견적에 대한 의뢰를 요청하는 내용을 담고있다.
[그림 5] 첨부 파일의 계정 로그인 화면
.htm 첨부파일을 열어보면 [그림 5]와 같이 이메일 계정으로 로그인하는 화면이 나온다. 유포 중인 제품 견적 의뢰 위장 피싱메일들의 경우, 공통적으로 첨부 파일에서 계정 로그인을 요구하고 있다. 이력서, 구매발주서, 이번과 같은 견적의뢰 등을 위장한 피싱 메일은 끊임없이 유포되고 있어 사용자들은 이러한 주제의 피싱 메일 열람에 주의가 필요하다.
[파일진단]
- Phishing/HTML.Agent
- Phishing/HTML.Generic
[IOC 정보]
- 피싱 메일 1 첨부파일: 51E6BCFBB2B6F5E6563F051E095ACCBE
- 피싱 메일 2 첨부파일: 77128F8261C73FAF4FD62EC65B31821D
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보