피싱메일

국내 메일 서비스 사용자 타겟 피싱 사이트(2)

그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다. 최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다. 또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다. 스크립트…

기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다. 공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고 한다. 위의 그림과 같이 메일 내부에는 첨부 파일로 보이는 PDF 와 XLS 파일이 존재한다. 그림 영역을 선택한 점선 박스를 자세히 확인해보면 첨부 파일로 위장한 캡쳐 이미지 한 개에 하이퍼링크를 삽입한…

국내 메일 서비스 사용자 타겟 피싱 사이트

최근 악성코드 유포 키워드 중 많은 비중을 차지 하는 것이 ‘피싱(Phishing)’이다. 메일 등을 통해 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 개인 정보를 부정하게 얻으려는 수법을 피싱이라 하는데 본 문서에서는 최근 기승을 부리는 이 피싱 메일을 통해 유포 중인 악성 스크립트에 대해 설명하고자 한다. ASEC 분석팀에서는 동일한 피싱 도메인 주소에서 다양한 대상을 타겟으로 피싱 공격을 수행한 것을 확인하였다. 네이버 웍스(NAVER WORKS), 메일 플러그(MAILPLUG), 하이 웍스(hiworks), 천리안, 다음(daum) 사용자들을 공격 대상으로 하며 하나의 도메인에서 해당 타겟에 대한 악성 피싱 스크립트들이 관리되고…

견적서 요청 피싱메일로 위장한 Lokibot 악성코드

ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다. 이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이 특징이라고 할 수 있다. 메일 본문의 내용은 매우 간단하지만 관련 업무를 수행하고 있다면 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 의심 없이 첨부 파일을 실행해 볼 가능성이 존재한다. 첨부파일을…

피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!

ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. 지난 2020년 7월에 ASEC블로그에 소개한 내용(‘AgentTesla 악성코드 국내에 어떻게 유포되고 있나?’)은 공격자가 Pastebin 서비스를 사용하여 AgentTesla 를 유포한 것이며, 11월에 소개한 내용(‘국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포’)은 Blogspot 웹페이지에 악성 스크립트 코드를 삽입하여 Lokibot 악성코드를 유포하는 것을 담은 내용이다. 이번에는 위의 방법 두 가지를 조합하여, Blogspot 웹페이지에 삽입한 악성…