피싱

국내 연구기관 및 기업 대상 피싱메일 유포

ASEC 분석팀에서는 국내 연구기관과 기업을 대상으로 패스워드를 탈취하는 피싱메일 유포를 확인하였다. 해당 피싱메일은 국제 운송 업체를 사칭하였으며 통관 정보 제출, 첨부파일 열람 등을 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있다. 포함된 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 페이지로 연결된다. 동일한 도메인을 사용하여 연구 기관 뿐만 아니라 다수의 기업을 대상으로 유포된 정황도 확인되어 주의가 필요하다. 수집된 샘플은 다음과 같이 화물 도착(예정) 안내 메일을 위장하고 있으며 유명 해외 운송기업을 사칭하였다. 본문에서는 통관 정보를 입력하기 위해 링크를 클릭하도록 유도하며, 해당 링크를 클릭할…

해외 직구 시즌을 맞아 ‘Emirates Post’ 사칭 메일 유포 중

ASEC 분석팀은 다양한 기업을 사칭한 피싱 사이트들을 소개해왔다. 최근에는 해외 직구 시즌을 맞이하여 운송 회사인 Emirates Post 를 사칭한 악성 메일이 유포 중인 것을 확인하였다. 유포 중인 악성 메일은 아래와 같으며, 메일 내용에는 배송 주소에 문제가 있어 구매자에게 확인 및 반품을 요청하는 문구를 사용하였다. 해당 메일 내 “Tracking Number” 와 “Click Here” 문구에 악성 링크가 첨부되어 있으며, 해당 링크는 피싱 사이트로 연결된다. 또한 해당 링크는 24시간 내 만료된다는 메시지를 이용하여 사용자가 해당 링크를 클릭하도록 유도하고 있다. 메일 내 첨부되어 있는…

CAPTCHA 화면이 있는 피싱 PDF 파일 대량 유포 중

올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분 국외 유포 위주로 보이고 이로 인한 국내 피해 건수는 높지 않은 것으로 보인다. 그동안 확인된 피싱 PDF 파일 유형은 화면 구성이나 동작 방식 등이 다양하였지만, 특정한 한 유형이 이렇게 대량으로…

기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다. 피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수 있도록 해라”라는 문구가 적혀있다. “KEEP YOUR PASSWORD” 문구를 클릭하면 아래 그림과 같이 Microsoft 로그인 화면과 동일한 화면이 뜨며, 실제 Microsoft 로그인 하는 과정과 비슷하게 메일 주소는 이미 입력된 상태로 되어있어…

‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱

최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다. 이번에도 그와 유사하게 사용자의 다음(Daum)계정 정보 유출을 목적으로 하는 피싱 메일이 확인되었다. 해당 메일은 아래 [그림1]과 같이 특정 학교를 수신, 발신으로 설정하여 유포한 것으로 보아 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다. 구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum)계정 정보를 입력하도록 유도한다. 아래의…