포스팅 내용

악성코드 분석 리포트

국내 포털 사이트의 계정 확인 안내로 위장한 PDF 첨부 파일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 '국내 포털 사이트의 계정 확인 안내'로 위장한 피싱 메일이 국내에서 유포되고 있어 주의를 당부드립니다.


이번에 발견된 메일은 계정 종료를 방지하기 위해 계정이 유효한지 확인하기 위한 인증 링크를 클릭하라는 내용과 함께 Inv.pdf 첨부 파일을 담고 있습니다. 


[그림 1] 포털 사이트 계정 확인 안내 피싱 메일 


본 메일에서 공격자는 본문의 'Vaildate mail Account, Neglect Shut Down' 링크, 첨부 파일 모두 동일한 사이트로 연결할 수 있도록 하였습니다.


이용자가 호기심에 첨부된 PDF 파일을 다운받아서 실행할 경우, 흐릿한 이미지를 나오면서, 선명하게 보기 위해 View 버튼 클릭을 유도합니다. View 버튼을 클릭할 경우 bit.ly 단축 URL 서비스를 통해 피싱 사이트로 연결하지만 현재 차단된 상태여서 정상적으로 접속되지 않습니다.


[그림 2] 피싱 사이트 접속을 유도하는 첨부 파일 


또한 메일 본문에서 Validate mail Account이나 Neglect Shut Down 링크를 클릭할 경우 다음의 피싱 사이트로 연결됩니다.


[그림 3] 피싱 사이트 화면


피싱 사이트에서는 이메일 계정, 계정 비밀번호, 휴대폰 번호 입력을 유도합니다. 'Log in' 버튼을 클릭할 경우, 공격자 서버로 입력 폼에 기입한 정보들이 전송되면서, 사용자를 안심시키기 위해 가짜 영수증을 보여줍니다.


[그림 4] 이용자를 안심시키기 위한 영수증 이미지


[그림 5] 공격자 서버로 입력한 정보 전송



추후, 입력된 정보를 토대로 정보 유출 등의 추가적인 피해에 노출될 가능성이 높습니다. 따라서 이용자들은 출처가 불분명한 메일에 있는 링크나 첨부파일에 대해 접근을 삼가주시기 바랍니다.


현재 알약에서는 첨부파일을 'Exploit.PDF.Downloader'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage