국내 대형 연예 기획사를 사칭한 피싱 이메일 주의

ASEC(AhnLab SEcurity intelligence Center)은 매주 블로그를 통해 주간 및 분기별 피싱 이메일 통계보고서를 공개하고 있으며 가짜 로그인, 배송, 발주서 품의 유형들이 주를 이루고 있다. 하지만, 최근 국내 대형 연예 기획사를 사칭한 피싱 메일이 국내 유포되고 있는 것을 확인했다. 공격자는 페이스북 및 인스타그램 광고에서 자신의 이미지를 무단으로 사용했으니 조치를 취하라는 내용으로 위장하였으며 어떤 사진을 사용했는지 확인을위해 하이퍼링크 클릭을 유도했다.

 

[그림 1] 피싱 이메일 본문

 

링크를 클릭할 경우 Python 기반의 Infostealer를 생성하며 PDF로 위장하기위해 아이콘을 PDF로 변경하고 파일 이름에 수 많은 공백을 추가하여 응용 프로그램(EXE) 확장자를 숨겼다. 아래 사진 처럼 공백을 많이 추가 하게 될 경우 파일을 한번 클릭하지 않는이상 “…”에 의해 가려지는데 공격자는 이를 노리고 가려지기전 “.pdf”를 채움으로서 실제 PDF파일 인 것처럼 사용자들을 속이려는 의도이다.

[그림 2] PDF로 위장한 악성코드

 

실행 시 저작권 침해 관련 내용과 무관한 일반 PDF 문서를 보여주며 시스템 정보 및 브라우저 데이터 정보, 메신저 정보, 화면 캡쳐, Steam 정보 등을 수집하여 공격자의 Telegram 채팅방으로 전송한다.

 

[그림 3] 실행시 보여지게되는 PDF 문서

 

이와 같이, 출처가 불분명한 메일 열람과 첨부파일 취급 시에는 각별한 주의가 필요하며 만약 첨부파일을 다운로드했을 경우에는 알 수 없는 파일에 대한 실행을 지양해야 한다. 또한, 아래사진과 같이 파일 확장자를 항상 표시하는 것으로 설정해두고 첨부된 파일이 EXE일 경우 의심해보아야 한다.

[그림 4] 파일 확장자 표기 방법 

MD5

0d2932a7418de348350ef0ac8e8ad3f6

3ce49df50854f9c1d4b4ac322c06868a

d6fea1f619099542c84122dd44f35559