phishing

파일공유 사이트(WeTransfer) 를 위장한 피싱메일 유포

최근 파일공유 사이트 WeTransfer를 위장하여 사용자의 개인정보를 유출하는 피싱메일이 유포되고 있다. 2월 2일 ASEC 분석팀이 수집한 이메일에 의하면, 공격자는 본문에 악성 링크가 포함된 메일을 수신자 맞춤형으로 개별 발송하였다. 본문 내용은 WeTransfer를 통해 새로운 파일이 도착했다는 내용이다. 링크를 클릭할 시 공격자가 미리 준비해둔 피싱 웹페이지로 접속하게 된다. 악성 이메일은 한글 또는 영문 형태가 모두 확인되었다. 사용자의 주의가 필요하다. 특징적으로 공격자는 피싱 웹페이지를 구축하기 위해 ‘appdomain.cloud’ 이라는 IBM 클라우드 서비스를 이용하였다. 최근 공격자는 클라우드 기반으로 자유롭게 도메인을 구축할 수 있는 서비스를 악용하여…

기업 대상 <견적의뢰 건> 제목의 이메일 주의

‘견적의뢰 건’ 제목의 악성 이메일이 기업을 상대로 다수 유포되고 있다. 작년 하반기부터 현재까지 이어지고 있는 이 악성 스팸메일 공격은 사용자 계정을 탈취할 목적으로 불특정 다수 기업에게 유포되고 있다. 사용자의 회사 메일 계정을 탈취하기 위해 피싱 웹페이지 접속을 유도하거나, 정보유출형 악성코드인 Lokibot 실행파일을 유포하였다. 이메일 제목은 현재까지 ‘견적의뢰 건’ 또는 ‘견적의 건 (날짜)’ 형태가 확인되었다. 아래는 1월 26일 언론사에 발송된 이메일이다. 이메일은 2개의 HTML 페이지를 첨부파일로 첨부하고 있다. 제목만 다른 동일한 파일이고, 브라우저를 이용해 페이지를 실행하면 내부에 삽입된 스크립트를 통해 악성…

국세청 ‘전자세금계산서’ 사칭한 Lokibot 유포

ASEC 분석팀에서는 금일 Lokibot이 국세청 ‘전자세금계산서’를 사칭하여 유포되고 있음을 확인하였다. 국세청을 사칭한 피싱 공격은 비단 이번 뿐만이 아니었다. 아래와 같이 기존 ASEC 블로그를 통해서 Infostealer 와 CLOP 랜섬웨어가 국세청을 사칭하여 유포된 이력을 확인 할 수 있다. 그 때 당시에는 메일 내부에 HTML 파일을 첨부하여 해당 파일 실행시 추가 악성파일을 다운로드하는 구조로 제작되었으나 이번에는 악성 매크로를 가진 파워포인트(*.PPT) 파일을 첨부하였다. 국세청 ‘전자세금계산서’ 사칭 악성코드 유포 – https://asec.ahnlab.com/ko/1368/ [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) – https://asec.ahnlab.com/ko/1234/ 이 첨부된 PPT…

정보 탈취 악성코드 유포 피싱 캠페인

ASEC 분석팀은 정상 유틸리티의 크랙 프로그램으로 위장하여 인포스틸러 악성코드를 유포하는 피싱 사이트를 발견하였다. 피싱 사이트는 지난 6월 29일에 공유한 바(https://asec.ahnlab.com/ko/1339/)와 같이 구글 검색 키워드로 유틸리티 프로그램명과 “Crack”을 함께 검색할 시 상단에 노출되기 때문에 많은 사용자들이 유틸리티 프로그램의 크랙 버전을 다운로드 하기 위해서 해당 페이지에 접속하여 감염되었을 것으로 추정된다. 해당 피싱 사이트의 게시글은 [그림 2]와 같이 실제 유틸리티 프로그램 이미지와 함께 정교하게 꾸며놓았다. 사이트에 접속한 사용자가 페이지 하단의 [그림 3] 다운로드 링크를 클릭 할 경우 악성코드 유포지로 리다이렉트되며 최종적으로 악성코드를 포함한…

급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…