포스팅 내용

악성코드 분석 리포트

견적 의뢰서로 위장한 피싱 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지속적으로 HTML 피싱 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 



이번에 발견된 메일은 첨부 파일을 있는 제품 품목의 견적을 확인하고 통보를 해달라는 내용을 담고 있습니다. 특히나 이번 메일에서는 '귀사의 일익 번창함을 기원합니다'와 같은 문구를 사용하여 정상적으로 보낸 의뢰서로 위장하고 있습니다.


[그림 1] 견적 의뢰서 위장 메일


첨부파일 'june order (2).zip'에는 'june order.html' HTML 피싱 파일이 있습니다. 사용자가 실제 제품 견적 의뢰서인 것으로 착각하여 html 파일을 실행할 경우 국내 포탈 사이트의 로그인 화면이 나옵니다. 


[그림 2] 첨부 파일 'june order (2).zip'


다음은 'june order.html' 파일을 실행하였을 경우 나오는 피싱 페이지이며, 로그인을 위해 아이디 및 비밀번호 입력을 유도합니다.


[그림 3] 피싱 페이지 화면


이용자가 로그인 화면의 입력폼에 아이디 및 비밀번호를 입력하였을 경우, C&C 'http://royaltytechs.com/bbba/eove[.]php'로 입력한 정보를 전송합니다. 다음은 전송 코드 및 화면입니다.


[그림 4] C&C 정보 전송 코드


[그림 5] C&C 정보 전송 화면


최근 exe와 같은 실행 파일 외에 HTML 확장자를 가진 피싱 파일이 지속적으로 확인이 되고 있는 만큼, 메일에 있는 출처가 불분명한 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 


현재 알약에서는 HTML 피싱 파일을 'Trojan.HTML.Phish'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage