phishing

엑셀 파일을 위장한 피싱 메일 유포중! (Advice.htm)

ASEC 분석팀은 최근 들어 엑셀 파일을 위장한 피싱 메일이 국내 기업을 타겟으로 대량 유포되고 있는 정황을 확인하였다. 해당 피싱 메일은 특정 고객사에만 한정된 것이 아닌, 여러 고객사에 유포되고 있어 주의가 필요하다. 피싱 메일은 아래와 같이 지불(Payment) 이라는 메일 제목으로 유포되고 있으며, 지불 관련되어 첨부 파일을 확인해 달라는 내용이 포함되어 있다. 메일의 본문 내용에는 마치 신뢰할 수 있는 금융기관인 것처럼 보이는 것을 볼 때, 정상적으로 사용된 메일을 악용한 것으로 추정된다. 첨부 파일은 HTML 파일(Advice.htm)로 되어 있으며, 실행해보면 아래와 같은 창이 뜨게…

계정 이용 제한 안내 메일로 위장한 피싱 메일 유포 중

ASEC 분석팀은 국내 포털 사이트의 계정 정보를 탈취하는 악성 메일이 국내에 유포 중임을 확인하였다. 메일 본문에는 계정 이용 제한과 관련된 내용이 존재하며, 내부 악성 URL이 포함되어 있다. 최근 유포 중인 피싱 메일은 아래와 같은 제목으로 유포되고 있으며, 발신자의 이름이 Daum 고객센터로 위장하고 있는 것으로 보아 국내 사용자를 대상으로 하고 있음을 알 수 있다. 또한, 정상적인 Daum 고객센터의 Email 주소는 notice-master@daum.net으로 해당 메일에서는 blogdaum.net 로 도메인 주소만 교묘하게 변경하여 수신자가 쉽게 착각할 수 있다. 사용자가 메일에 존재하는 악성 URL을 클릭할 경우…

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서

ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이…

주의! 안랩 사칭 견적서 내용의 악성코드 유포 중!!

안랩을 사칭한 피싱 이메일이 유포중이다. 3월 19일 오전 접수된 이메일 파일에 따르면 공격자는 ‘안랩몰’을 사칭하여 이메일을 발송하였다. 공격자는 TMON(티몬), 정부 산하 에너지경제연구원 등 다수의 기업과 공공기관을 대상으로 이메일을 발송하고 있는 것으로 보인다. 제목: [견적서] 주식회사 안랩입니다. 발송자: AhnLab (csadmin@rm.ahnlab.com) ‘[견적서 다운로드 (클릭)]]’ 부분을 클릭하면 피싱 페이지로 이동한다. 접속 주소는 메일 수신 대상에 따라 변경된다. 접속 이후에는 메일한 수신한 사용자의 ID/Password 입력을 요구하고 아래 주소로 정보를 전송한다. 공격자는 사용자의 계정 정보 유출을 목적으로 한다. 안랩몰의 견적 메일은 견적을 요청한 사용자에 한해서만…

이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe 저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe 포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe 이력서(경력사항 기재하였습니다 잘 부탁드립니다).exe 포트폴리오_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 이력서_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 아래는 최근에 확인된 저작권 위반 관련 위장 메일로, 사용자가 첨부 파일을 실행하도록…