국세청을 사칭하여 유포 중인 피싱 메일 주의
최근 AhnLab SEcurity intelligence Center(ASEC)에서는 국세청(홈텍스)을 사칭하는 피싱 메일이 유포되고 있음을 확인했다. 이메일 본문에는 전자세금 계산서 내용을 위장하고 있으며, 확인을 위해 첨부된 HTML 파일 실행을 요구한다.
국세청을 사칭하는 피싱 메일은 오래전부터 꾸준히 유포되었으며, 파일 이름에는 항상 “NTS_eTaxInvoice“가 포함되었다. 이러한 피싱 메일은 EXE 악성코드, 문서 악성코드, LNK 악성코드 등 다양한 유형의 악성코드를 유포한다. ASEC에서는 이러한 내용을 여러 차례 블로그를 통해 공개한 바 있다.
[그림 1] 피싱 이메일 본문
이번 사례에서는 HTML파일을 유포중에 있으며 첨부된 HTML파일의 이름은 모두 “NTS_eTaxInvoice.html“로 동일하다. HTML파일 실행 시 세금계산서 내용과는 무관한 페이지가 표시되면서 사용자의 이메일 계정과 비밀번호 입력을 요구한다.
[그림 2] HTML 파일 실행 시 보여지게 되는 화면
[그림 2]의 “View Document” 버튼을 클릭하면 사용자의 이메일 계정 및 비밀번호가 HTML 파일 내부에 포함된 Telegram Bot Token과 Chat ID의 조합을 통해 공격자의 채팅방으로 전송된다. Telegram 채팅방은 생성 및 관리에 용이하고, 비용이 발생하지 않아 공격자들이 자주 사용한다.
[그림 3] (상) HTML 내부에 포함된 Telegram Bot Token과 Chat ID (하) 공격자 채팅방으로 정보를 전송하는 화면
출처가 불분명한 이메일을 열람할 때는 사용자의 각별한 주의가 요구된다. 이메일의 발신자가 신뢰할 수 있는지 확인하고, 의심스러운 링크나 첨부 파일을 열지 않는 것이 중요하다. 특히, 개인 정보나 금융 정보를 요구하는 이메일은 더욱 신중하게 처리해야 한다. 최근에는 공격자가 정상적인 플랫폼을 C2 서버로 활용하는 사례가 계속 증가하고 있으며, 이러한 공격은 탐지하기 어려울 수 있으므로 사용자는 더욱 주의해야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
