상세 컨텐츠

본문 제목

HTML 피싱 파일이 첨부된 악성 메일 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 5. 16. 16:28

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다.


[그림 1] 포장 명세서 위장 악성 메일


또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다.


[그림 2] 포장 명세서 위장 악성 메일


첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 로그인을 만료 ...'라는 메시지 창이 나오고, 국내 포털 사이트의 아이디 및 비밀번호 입력을 유도하는 웹 페이지가 나옵니다. 이용자에게 메시지 창을 보여주는 이유는 로그인한 계정이 로그아웃된 것처럼 보여주어, 다시 로그인을 위해 입력을 유도하도록 공격자가 의도한 것으로 보여집니다.


[그림 3] 로그인 만료 메시지


[그림 4] 포털 사이트 아이디 및 비밀번호 입력 화면


만일 이용자가 로그인해야 패킹 리스트를 볼 수 있다고 생각하여, 아이디와 비밀번호에 자신의 정보를 기입할 경우, 입력된 정보가 공격자 서버(http://iket[.]usa[.]cc/ml/forum/nna/daum/log[.]php)로 전송되어 정보 유출에 따른 2차적인 피해가 발생할 수 있습니다. 다음은 입력한 정보를 전송하는 코드의 일부이며 디코딩해서 나온 코드입니다.


[그림 5] 정보 전송 코드의 일부


[그림 6] 입력한 정보를 C&C로 전송하는 화면


한편, 관련 메일을 확인하던 중 유사한 변종이 확인되었습니다. 발견된 메일은 앞서 언급한 메일과 유사하게 포장 명세서 및 송장 정보 내용을 담고 있으며, 국내 포털 사이트 아이디 및 비밀번호를 입력하는 HTML 파일이 첨부 파일로 있습니다.


[그림 7] 송장 및 포장 명세서 위장 악성 메일


[그림 8] 포털 사이트 아이디 및 비밀번호 입력 화면 (2)


첨부 파일 'inv 878000-29 - Copy.html' 또한 정보 입력시 C&C(https:office3650-docsfilesharing.com/DCJ/Hanmail/wov-ve[.]php)로 전송됩니다. 다음은 HTML 파일에서 C&C로 전송하는 코드입니다.


[그림 9] C&C로 정보 전송하는 코드


또한 HTML을 확인하던 중, 사용되지 않는 C&C(http://rawearthhampers[.]com[.]au/vx/nav[.]php)를 확인할 수 있었습니다. 


[그림 10] 사용되지 않는 C&C


최근 '제품 견적서', '견적 의뢰' 등을 사칭한 악성 메일이나 GandCrab 랜섬웨어가 첨부파일로 있는 악성 메일에서도 한국어가 사용 되고 있는 만큼 메일 확인 간 이용자들의 세심한 주의가 필요합니다. 



따라서 이용자들은 메일에 있는 출처가 불분명한 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.


현재 알약에서는 첨부된 HTML 피싱 파일을 'Trojan.HTML.Phish'로 진단하고 있습니다.



관련글 더보기

댓글 영역