피싱

국내 포털(NAVER) 계정정보 탈취용 피싱메일 주의!

ASEC 분석팀은 지난주 국내 포털 계정정보를 탈취하는 피싱 메일이 유포 중인 것을 공유하였는데, 금일 다른 국내 유명 포털 계정정보를 탈취하는 피싱 메일이 추가로 다수 유포 중인 것을 확인하였다. 해당 메일은 이전과 비슷한 방식으로 견적서, 송장과 관련된 내용을 포함하고 있으며 첨부 파일 실행을 유도하고 있다. 각 메일에는 “견적 의뢰서.xlsx.htm”, “Purchase order.htm.rar” 명으로 파일이 첨부되어 있다. 파일명에 .xlsx 을 추가하여 엑셀 파일로 위장하고 있으며 rar 파일은 압축 해제시 내부에 악성 html 파일이 존재한다. https://asec.ahnlab.com/1345 첨부된 파일(HTML)을 실행시 아래와 같이 국내 유명 포털 사이트의 로그인…

공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중

ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 유포된 스팸 메일 메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL “hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]”이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다. 하이퍼링크 클릭 시 메일 서버에 접속하는 것 같은 페이지에…

국내 포털 계정정보 탈취용 피싱메일 주의!

 ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 송장 관련 스팸 메일 첨부 파일 내부에 존재하는 HTML 해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다. 피싱 파일 내부 코드 리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할…

구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취)

3월 14일, ASEC 분석팀은 ‘구매확인서 발급 확인요청’으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. https://asec.ahnlab.com/1282 이번에 접수된 악성 코드는 실행 파일(.EXE)이 아닌 .HTML 스크립트 형식의 파일로…

부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중

2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와…