phishing

국내 메일 서비스 사용자 타겟 피싱 사이트(2)

그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다. 최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다. 또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다. 스크립트…

피싱 사이트를 통해 유포되는 CryptBot 정보탈취 악성코드

ASEC 분석팀은 유틸리티 프로그램으로 위장하여 정보탈취 악성코드를 유포하는 피싱 사이트를 아래 블로그를 통해 소개한 바 있다. 해당 악성코드는 구글 검색 키워드로 유틸리티 프로그램 이름을 검색할 시 사용자에게 비교적 상단에 노출된다. 현재까지도 활발히 유포되고 있으며, 감염 과정은 지속해서 변화되고 있다. 해외에서 CryptBot 으로 알려진 해당 정보 탈취 악성코드의 최근 유포 파일의 감염 방식에 관해 설명한다. [그림 1], [그림 2]는 유틸리티 프로그램으로 위장하여 악성코드를 유포하는 피싱 사이트의 모습이다. 영문 사이트 외에도 한국어로 번역된 사이트도 존재한다. 악성코드는 zip 형태로 다운로드된다. 압축파일에는 정보 유출 악성코드가…

저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어

ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 첨부파일 내부에는 알집으로 압축된 파일이 존재하며, 아래와 같이 총 3개의 파일이 존재한다. 이 중 이미지 원본.jpg 파일은 정상 실행파일이며, 나머지 실행 파일의 경우 동일한 파일로 랜섬웨어 악성코드이다. 해당 파일은 아래와 같이 CCleaner Installer 인 것 처럼 위장하였다. 랜섬웨어 파일…

메일서버 관리자 위장한 기업대상 피싱메일 유포

ASEC 분석팀은 국내 포털 사이트의 계정 정보 탈취를 목적으로 하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 격리된 메시지 검토와 관련된 내용이 존재하며, 내부에 포함된 악성 URL 클릭 시에 피싱 사이트로 연결되는 것이 특징이다.  피싱 메일은 아래와 같이 국내 특정 기업의 메일 서버 관리자로 위장하여 XXXX.com Error Notification 이라는 메일 제목으로 유포되고 있으며, 메일의 본문에서는 “2021년 3월 26일 7시8분33초 현재 당신의 포털에 9개의 격리된 메시지가 있으니 서버에서 삭제되기 전에 메시지를 검토해라”는 내용을 담고 있다. 피싱 사이트는 아래와 같이 특정…

엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)

ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다. 피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다. 메일의 본문 내용에는 마치 신뢰할 수 있는 금융기관인 것처럼 보이는 것을 볼 때, 정상적으로 사용된 메일을 악용한 것으로 추정된다. 첨부 파일은 HTML 파일(Advice.htm)로 되어 있으며, 실행해보면 아래와 같은 창이 뜨게…