포스팅 내용

악성코드 분석 리포트

국내기업 및 기관 등의 이메일 웹 서버 계정정보 삭제로 둔갑한 피싱 사기 등장



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 ‘We’ll miss you: [수신자 이메일 주소] Removal request from [수신자 도메인] server accepted’ 라는 제목의 피싱 메일이 이메일 관리자를 타깃으로 국내에서 유포되고 있어 주의를 당부드립니다.


매우 고전적인 이메일 계정 피싱 수법이긴 하지만, 이번에 발견된 공격수법은 마치 이메일 웹 서버에서 관리자 권한으로 계정들을 모조리 삭제하는 것처럼 교묘하게 만들어진 특징이 있습니다.





아울러 피싱 공격에 사용된 이메일은 "2018년 4월 11일 오후 4:41:45부터 24시간 후 이메일을 삭제한다. 이러한 피해를 예방하기 위해서는 'CONTINUE REMOVAL' 또는 'CANCEL REMOVAL' 을 클릭"하라는 내용을 담고 있습니다.



[그림1] 수신된 피싱 이메일 화면



이메일 수신자가 본문에 있는 URL 링크를 클릭하게 되면, 해당 사이트로 연결이 되고 마치 수신자의 이메일 원격 서버처럼 사칭한 피싱 사이트를 보여줍니다.


피싱 사이트는 시각적으로 실제 서버에 접속된 화면처럼 꾸며져 있고, 다수의 이메일 계정정보가 자동으로 삭제되는 것처럼 좌우화면에서 빠르게 반복적으로 스크롤됩니다.



[그림 2] 실제 피싱 사이트 일부 화면

 


이처럼 공격자는 이메일 계정 데이터가 순식간에 서버에서 삭제되는 것처럼 위장해 수신자로 하여금 다급하게 관리자 암호를 입력하도록 현혹시킵니다.


하지만 해당 이메일들의 아이디는 피싱 사이트에서 임의로 설정한 허위 계정 정보들이고, 실제 데이터가 삭제되는 것은 아닙니다. 


피싱 웹 사이트는 URL상의 수신자 이메일 주소에 따라 웹서버 설정 및 삭제대상 이메일 주소가 가변적으로 변화하게 되며, 이스트시큐리티에서는 분석을 위해 도메인 주소를 임의로 'website.com'으로 설정한 상태입니다.



http://re******gold***um.com/j**/***_update2018/crypt/index.php?email=(수신자이메일주소)



[동영상 1] 피싱 사이트 접속 동영상 화면


암호를 입력 한 후 'Validate Email' 버튼을 클릭하면 사용자에게는 아래와 같은 화면을 보여주고 패스워드 정보 탈취를 시도합니다. 


[그림 3] Validate Email 클릭화면



분석 테스트 결과 실제 암호 폼에 입력된 데이터는 다음과 같이 공격자의 호스트로 은밀하게 전송되는 것을 확인할 수 있습니다. 


이렇게 노출된 (관리자) 이메일 계정 정보는 또 다른 보안 위협에 악용될 소지가 있을 수 있습니다.



[그림4] 공격자 서버로 전송된 테스트 계정 화면



패스워드 전송이 완료된 후에는 수신자의 이메일 계정 도메인으로 연결해 마치 신뢰하는 업체에서 발송된 것으로 위장하였습니다. 


더불어 공격자는 피싱용 PHP 파일 백업본을 웹 서버에 몰래 숨겨두었고, 해당 파일을 확인해 본 결과 다음과 같이 내부에 삭제되는 용도로 출력되는 이메일 아이디를 확인할 수 있었습니다.



 [그림 5] 공격자 피싱 웹 서버에서 발견된 PHP 파일 화면



따라서 이러한 유형의 공격으로부터 피해를 미연에 예방하기 위해서는 발송자의 신원이 불명확하거나 신뢰하기 어려운 이메일은 가급적 접근을 자제하고, 특히, 개인 신상정보 및 암호 등의 입력을 요구하는 경우 안내하는 사항이 사실인지 다시 한번 확인하셔서 이용하시기 바랍니다.



티스토리 방명록 작성
name password homepage