AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 유명 포탈 N사의 로그인 페이지로 위장한 피싱 사례를 분석하였으며, 공격자에 대한 일부 정보를 확보하였다.
피싱 메일 등에 첨부된 하이퍼링크 형태로 유포되었을 것으로 추정되는 가짜 로그인 페이지는 실제 N사의 로그인 페이지와 매우 흡사한 것으로 확인되며, 육안으로는 피싱 사이트라는 사실을 구분하기 어렵다.
해당 페이지에 로그인 정보를 입력하면 아래와 같이 공격자가 설정한 C2서버로 정보가 전송된다.
공격자의 도메인에 대한 분석 과정에서 피싱 페이지 서버 내부에서 동작하는 코드를 확보하였으며 피싱 페이지를 통해 공격자에게 전송된 로그인 정보가 어떻게 처리되는지에 대한 다수의 PHP 코드를 획득하는데 성공했다. 공격자가 탈취한 사용자 정보가 어떻게 처리되는지 살펴보자.
1. 패킷에 포함된 로그인 정보와 Client 정보 수집
피싱 페이지를 통해 POST 방식으로 수신한 패킷에서 사용자가 입력한 email 정보와 Password 정보를 수집하고, 정규표현식을 활용하여 해당 패킷을 전송한 Client측의 OS 정보와 브라우저 환경을 파악한다.
2. 패킷에 포함된 Source IP 정보를 활용하여 추가 정보 수집
공격자는 패킷에 포함된 Source IP정보를 활용하여 geoplugin 사이트에 쿼리하여 해당 IP가 속한 국가, 지역, 도시 정보를 추가로 수집하고 있음이 확인되었다. 해당 geoplugin 사이트는 입력으로 받은 IP 주소에 대한 정보를 json 포맷의 형태로 반환해주는 플러그인 형태의 정상적인 서비스로 확인되나, 본 피싱 케이스처럼 공격자 측에서도 악용할 수 있다.
3. 수집한 정보를 기반으로 메일 본문을 완성하여 공격자 이메일 주소로 발송
공격자는 위 1, 2번 항목에서 수집한 정보를 바탕으로 아래와 같이 $message 변수를 완성한다. 해당 변수에는 피싱으로 수집한 로그인 정보(이메일, 비밀번호), IP 주소, 국가, 지역 및 도시, Client의 Browser 환경과 OS 정보가 포함된다.
분석 과정에서 해당 본문이 전송되는 이메일 즉, 공격자로 추정되는 다수의 이메일도 확보되었으며 주로 베트남어로 구성되어 있는 경향이 있다.
이번 사례는 공격자가 피싱 행위로 획득한 로그인 정보가 어떤 과정을 거쳐 공격자에게 전달되는지 잘 보여준다. 이렇게 탈취당한 사용자 정보는 추가 악성행위에 대한 타겟이 될 위험이 있다. 출처가 불분명한 메일 열람을 통해 연결되는 로그인 페이지를 사용할 때는 깊은 주의가 필요하며, 주기적으로 계정 정보 관리를 해야한다.
[IOC 정보]
MD5
87cf92cb5ff0fc445fb05dfc7321bd3e : Phishing/HTML.FakeNaver.SC196455
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보