ASEC(AhnLab Security Emergency response Center)은 최근 운송 회사를 사칭한 악성 메일이 국내에 유포 중인 것을 확인하였다. 해당 메일은 ‘수입 통관 정보 제출’을 명목으로 첨부파일을 확인하도록 하고 있다. 메일에 첨부된 HTML 파일명이 ‘DHL_KOREA’로 시작하는 것으로 보아 국내 사용자를 대상으로 유포 중임을 알 수 있다.
[그림 1] 메일 원문
해당 사칭 메일은 첨부된 HTML 파일에 로그인 페이지가 있고, 사용자가 로그인을 하면 OneDrive 개인 클라우드 저장소에 저장된 엑셀 파일이 열리는 형태이다.
[그림 2] 운송 회사를 사칭한 로그인 화면
사용자가 첨부된 HTML 파일을 열었을 때, 연결되는 로그인 페이지에서 입력한 비밀번호는 아래 서버로 유출되는 것을 알 수 있다.
[그림 3] HTML 웹 소스에서 확인된 정보 유출 주소
- 정보 유출 주소: hxxps://lucent-fittings.000webhostapp[.]com/action.php
[그림 4] OneDrive 링크를 통해 연결되는 Excel 파일
이렇게 사용자가 로그인을 시도한 뒤에는 OneDrive 개인 클라우드 저장소에 저장된 Excel 파일로 연결된다. 그러나 해당 링크로 연결된 Excel 파일은 크기 제한이 초과되어 실행이 불가하다. Excel 파일로 연결되는 화면이 사용자를 속이기 위한 목적이었으므로, 사용자 입장에서 계정정보를 입력했다면 피싱을 당했다는 사실을 인지하기 어려울 수 있다.
[그림 5] 통관사항 확인요청 메일원문
앞서 소개한 ‘수입 통관 정보 제출’ 피싱 메일과 유사하게 통관사항 확인을 요청하는 메일도 확인되었다. 첨부파일을 열어보면 PDF 파일로 연결되는 것처럼 위장한 화면이 있는 것을 확인할 수 있다. Open 버튼을 클릭할 경우 연결되는 URL에 현재는 접근이 불가하지만, 연결이 유효했을 당시에는 GuLoader 악성코드가 다운되었던 것으로 확인된다.
최근 이렇게 수입 통관과 관련된 피싱 메일이 유포되고 있는 만큼, 사용자들은 계정정보를 입력하거나 파일을 실행하기 전에 각별한 주의가 필요하다. 현재 V3 제품에서는 본문에서 언급한 파일에 대해 아래와 같이 탐지하고 있다.
[파일 진단]
- Phishing/HTML.FakeMS.S2082 (2023.01.19.00)
- Trojan/PDF.Generic (2023.02.10.02)
- Trojan/Win.GuLoader.C5379004 (2023.02.11.00)
[관련 IOC 정보]
- c2b8db7362020b321870e649b05f12fb
- e49967b8d499bb593cf44026aa79871b
- 7739ebe59ba934f4887d70e4a4d31d6a
- hxxps://lucent-fittings.000webhostapp[.]com/action.php
- hxxp://31.42.184[.]26/PDF.gz
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보