AhnLab Security Emergency response Center(ASEC)은 최근 이메일 첨부 파일을 통해 PDF 문서뷰어 화면으로 위장한 피싱 스크립트 파일이 다수 유포되고 있는 정황을 확인하였다. 확인된 일부 파일명은 아래와 같으며, 구매 주문서(PO, Purchase Order)/주문/영수증/발주서 등의 키워드를 활용하였다.
| New order_20230831.html | Salbo_PO_20230823.pdf.html |
| WoonggiOrder-230731.pdf.html | PO_BG20231608-019.html |
| ○○○ Pharma.pdf.html | DH○_BILL_LADING_DOCUMENT_RECEIPT.html |
| _○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) | BL_148200078498.html |
| En○○○ Purchase Order.html | Sung○○ BioX_New PO.pdf.html |
아래의 Figure 1.과 같이 문서의 내용이 블러 처리된 이미지가 배경으로 사용되었고, 첨부파일인 HTML 파일을 실행 시 ‘문서를 보려면 이메일 비밀번호로 로그인하세요’ 의 유도문구를 확인할 수 있다. 비밀번호 입력 칸 아래에는, 잘못된 암호를 사용하면 파일에 액세스할 수 없다는 문구도 존재하고 실제 PDF 문서인 것처럼 그럴듯하게 제작되었기 때문에 사용자의 각별한 주의가 요구된다.
Figure 1. 첨부파일 실행 시 확인되는 로그인 유도화면
로그인 시도 시 비밀번호 입력 횟수에 따라 보여지는 문구를 나눠 놓은 것으로 보아, 사용자를 속이기 위해 비교적 정교하게 제작한 파일임을 알 수 있다. 비밀번호 칸에 아무것도 입력하지 않고 로그인 버튼을 클릭하는 경우와, 값을 입력 후 로그인 버튼을 클릭하는 횟수(1~3회)에 따라 경우를 나누어 놓은 것이다. 값을 입력하지 않고 로그인 버튼을 누를 경우 ‘일치하는 로그인 정보를 찾을 수 없습니다’ 의 안내 문구에 이어, 값을 입력 후 로그인 버튼을 1회 누를 경우에는 ‘비밀번호를 정확히 넣어 주십시오.’ 와 2회 누를 경우에는 ‘입력하신 메일 비밀번호가 잘못되었습니다.’ 의 안내 문구가 확인된다.
Figure 2. 비밀번호 입력 횟수에 따라 다르게 보여지는 문구 (빨간 글씨)
주목할만한 점은 로그인 시도를 3회 수행 시 국내 ERP 전문 기업에서 외부에 공개적으로 제공하는 홍보용 PDF 다운로드 웹사이트로 연결되는데, 이는 일반 사용자가 피싱 파일임을 인지하지 못하도록 외부에 공개된 정상 PDF 파일을 활용한 것이다. 해당 사이트 뿐만 아니라, 악성 기능이 없는 정상 이미지 파일이 존재하는 사이트(Figure 4.)로 리다이렉트 하는 스크립트도 확인된다.
Figure 3. 외부에 공개된 정상 사이트(정상 PDF)로 리다이렉트 되는 화면
Figure 4. Decoy 이미지를 업로드해놓은 사이트로 리다이렉트 되는 화면
Figure 5. 로그인 횟수에 따라 여러가지 경우로 나누어 놓은 HTML코드
위의 Figure 5. 스크립트 코드에서 #password__empty (빈칸으로 로그인시도 시) / #password__incorrect (로그인 시도횟수 1회) / #password__incorrect1 (로그인 시도횟수 2회) 를 통해 로그인 시도횟수에 따라 화면에 보여지는 텍스트를 구분해 놓은 점을 알 수 있으며, click 이벤트가 3회 발생할 경우 window.location.href 파라미터를 이용하여 정상 PDF 파일이 존재하는 URL로 이동 시키는 내용도 확인할 수 있다. (붉은색 박스)
Figure 6. Telegram을 통해 사용자 정보를 유출하는 기능의 sendTeleMsg 함수
텔레그램을 통해 메시지를 전송할 수 있는데 이 때 필요한 요소는 Bot Token과 Chat ID 이다. sendTeleMsg 함수는 Figure 6. 에서 확인할 수 있는데, 메일을 수신한 사용자의 E-mail 주소, 사용자가 입력하는 Password, 그리고 사용자의 IP 주소를 Telegram API를 통해 공격자가 생성한 채팅방에 전송하는 기능이 존재한다. IP Object의 경우 오픈소스(json.geoiplookup.io)를 이용하기 때문에 IP 뿐만 아니라 ISP정보, 위도/경도를 비롯한 지역 정보까지 확보가 가능하다. (Figure 7.)
Figure 7. geoiplookup.io 를 통해 쿼리하는 사용자 정보
공격자는 텔레그램의 알려진 강점인 익명성과 암호화 로직 때문에 이를 피싱 공격에 활용하는 것으로 판단된다. 또한, 악성 도메인이 식별되면 차단할 수 있는 일반적인 도메인과 달리 정상 애플리케이션의 API를 활용하는 점은 안티바이러스 제품의 탐지를 우회한 것으로 보여진다. 과거에도 Telegram API를 이용하여 사용자 계정을 유출했던 사례는 종종 확인되었다. 다만 외부에 공개된 정상적인 웹사이트를 코드에 활용하는 점을 비롯하여 보다 더 그럴듯하게 사용자를 속이기 위해 제작되고 있는 점이 특징이라고 할 수 있다. 사용자는 출처가 불분명한 이메일의 첨부 파일에 계정 정보를 입력하지 않도록 주의 해야 한다.
[파일진단]
Phishing/HTML.SendTelegram.S2342 (2023.08.21.02)
Phishing/HTML.SendTelegram.S2346 (2023.08.30.03)
Phishing/HTML.Generic.SC192009 (2023.09.01.00 외 다수)
[IOC]
94ebd0b12c95f5072561676985b1dbe5
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
그래서 뭘 어떻게 하라는 건가요
[…] 활용하여 사용자 정보를 유출하는 피싱 스크립트에 대해 소개한 바 있다.[1] 최근까지도 Telegram 을 이용한 피싱 스크립트가 다수 확인되고 있으며 […]