임금 수령 통지서를 위장한 큐싱 메일 유포

AhnLab SEcurity intelligence Center(ASEC) 은 최근 중화인민공화국 재정부를 사칭한 큐싱 메일이 유포 중인 것을 확인하였다. 큐싱이란(Qshing), QR 코드와 피싱(Phishing) 의 합성어로 QR 코드를 스캔하게 되면 악성 앱 설치 또는 피싱 사이트에 접속하게 한다.

유포 중인 메일은 [그림 1] 과 같으며, 2024년 1분기 임금 수령 통지서를 위장하고 있다. 본문에는 임금 보조금을 수령하기 위해서는 휴대폰을 이용하여 QR 코드를 스캔하도록 유도하는 문구가 포함되어 있다.

또한, 공격자는 발신자 메일 주소를 “ahnlab.com” 으로 위장하였는데 메일 헤더를 통해 실제 발신자 메일 주소를 확인할 수 있다. 일반적으로 사용자는 메일 헤더를 확인해보지 않기 때문에 발신자 메일 주소가 위조되었다는 사실을 알아차리기 어렵다.

사용자가 메일 본문에 존재하는 QR 코드를 스캔 시, 아래 링크에 연결되며 최종 피싱 사이트로 리다이렉트되는 구조이다.

• QR 코드 연결 URL : 2024127[.]ltd
• 리다이렉트 URL : hxxps://km.pvncs157[.]sbs/, hxxp://dfxa.hwkltou.yoanka1r[.]sbs/

리다이렉트된 페이지에서는 브라우저 가로 넓이를 확인하여 996 보다 큰 경우 PC 환경으로 판단하고 모바일로 접속하도록 유도한다.

브라우저 가로 넓이 조건을 만족할 경우, 모바일로 접속한 것으로 판단하여 피싱 사이트로 연결된다. 해당 사이트에서는 [그림 5] 와 같이 보조금 수령 관련 문구를 포함한 알림창이 생성된다.

알림창 버튼을 클릭할 경우, 개인 정보 입력을 유도하는 페이지로 연결된다. 해당 페이지는 지원금 신청을 위해 사용자 이름, ID 번호를 입력하도록 유도하고 있다. 실제 사용자의 개인정보를 입력하게 되면 이후 카드 및 휴대폰 번호, 패스워드 등 추가 정보를 입력하게 하며, 입력된 사용자 정보는 아래 주소로 전송된다.

• hxxp://dfxa.hwkltou.yoanka1r[.]sbs/home/index/xyk.html

앞서 소개한 내용에서 볼 수 있듯이 공격자는 큐싱, 발신자 위조 등 다양한 기법을 사용하여 공격을 시도하고 있다. 추가로, 유출된 정보를 이용하여 금전적인 피해와 같이 2차 피해로 이어질 수 있어 사용자는 메일 열람에 각별한 주의가 필요하다.

URL

http[:]//dfxa[.]hwkltou[.]yoanka1r[.]sbs/

http[:]//dfxa[.]hwkltou[.]yoanka1r[.]sbs/home/index/xyk[.]html

https[:]//km[.]pvncs157[.]sbs/

FQDN

2024127[.]ltd