피싱

ASEC 주간 피싱 이메일 위협 트렌드 (20221120 ~ 20221126)

ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2022년 11월 20일부터 11월 26일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….

국내 유명 항공사로 위장한 피싱 메일

ASEC 분석팀은 최근 국내 유명 항공사를 사칭하여 이용자의 정보를 수집하는 피싱 메일을 확인하였다. 해당 피싱 메일은 항공권 결제에 대한 내용을 공지하며 자세한 항공권 가격과 사전 정보를 파악한 것으로 추정되는 내용과 함께 위장한 피싱 사이트 접속을 유도한다. 메일 제목 및 본문은 아래와 같다. 본문에 첨부된 HTML파일을 확인하면, 아래와 같이 국내 유명 항공사로 위장한 피싱 사이트로 연결된다. 해당 사이트는 국내 유명 항공사 경영 지원 부서의 출처로 위장하였으며, 항공권 확인증 PDF 출력을 요구하는 내용과 함께 피해자의 계정 정보 입력을 요구한다. 이 과정에서 사용자가…

국내 유명 웹메일 로그인 사이트로 위장한 피싱 사이트 유포

ASEC 분석팀은 국내 유명 웹메일 사이트의 계정 정보 탈취를 목적으로 하는 악성 사이트가 국내에 유포 중임을 확인하였다. 해당 피싱 사이트는 국내 특정 웹메일의 로그인 사이트를 위장한 것으로 국내에서 50건 이상 해당 사이트에 접근한 이력이 확인되었다. 따라서 사용자는 해당 웹메일 사이트에 로그인 시 각별한 주의가 필요하다. 피싱 사이트는 아래와 같이 국내 웹메일 로그인 페이지로 위장하고 있으며 해당 메일 계정에 대한 ID와 비밀번호를 입력 후 로그인 버튼을 클릭하면, 공격자의 서버(hxxps://as-massage[.]ch/wp-includes/mindx/nkuego.php)로 해당 계정 정보가 전송되며 최종적으로 사용자를 눈속임하기 위한 정상 사이트로 리다이렉션 된다….

국내 유명 메신저 프로그램으로 위장하여 유포 중인 Amadey Bot

2022년 10월 17일인 오늘, KISA로부터 ‘카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고’ 보안 공지가 게시되었는데, 해당 내용에 따르면 이메일을 통해 카카오톡 설치파일(KakaoTalkUpdate.zip 등)로 위장하여 유포되고 있음을 알 수 있다. ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다. 해당 악성코드는 유포되는 파일명과 아이콘이 실제 메신저 프로그램과 동일하여 일반 사용자들로 하여금 실행을 유도한다. 메일에 첨부되었을 것으로 보이는 kakaotalk_update.exe 악성코드 초기 실행 시, 해당 프로세스를 재귀 실행하여 자기 자신 프로세스에 인젝션한다. 인젝션 된 프로세스는 C2 서버에 접속하여,…

Word 로 위장한 GuLoader 악성코드 국내 유포

ASEC 분석팀은 GuLoader 악성코드가 국내 기업 사용자를 대상으로 유포 중인 정황을 포착하였다. GuLoader 는 다운로더 악성코드로, 다양한 악성코드를 다운로드하며 과거부터 꾸준히 변형되어 유포되고 있다. 유포 중인 피싱 메일은 아래와 같으며, HTML 파일이 첨부된 형태이다. 첨부된 HTML 파일을 실행하게 되면, 아래 URL 을 통해 압축 파일이 다운로드된다. 압축 파일 내부에는 IMG 파일이 존재하며, IMG 파일 내부에 GuLoader 악성코드가 존재한다. GuLoader 는 Word 아이콘으로 위장하였으며, 파일 끝에 약 600MB 크기의 Null 값이 추가된 형태이다. 또한, 지난 7월 ASEC 블로그를 통해 소개했던 GuLoader…