포스팅 내용

악성코드 분석 리포트

국내 시중 은행 이름을 도용한 계정 탈취 목적 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근, 국내 시중 은행의 이름을 도용한 PDF 첨부파일 이미지가 포함된 계정 탈취 목적의 악성 메일이 특정 기업에서 발송한 것처럼 사칭해 국내에 유포되고 있어 주의를 당부드립니다.


이번 메일은 '송장 지급 유월 2018 KRW12,450,804' 제목으로 상품 운송장인 것처럼 위장하였습니다. 이번 이메일에서는 제목에 '6월' 대신 한글 '유월'로 적어 한국인이 보낸 것처럼 보이려고 한 점이 특징입니다.


[그림 1] 상품 운송장으로 위장한 악성 메일


메일에 첨부 파일은 존재하지 않지만, '첨부 파일 다운로드'로 위장한 이미지로 피싱 사이트 접속을 유도합니다. 다음은 피싱 사이트 접속을 유도하는 이미지 화면입니다.


[그림 2] '첨부 파일 다운로드'로 위장한 이미지


이용자가 실제 운송장인 것처럼 생각하여 무심결에 이미지를 클릭할 경우, 이메일 계정 및 비밀번호 입력을 유도하는 피싱 사이트로 연결됩니다.


[그림 3] 피싱 사이트 화면


피싱 사이트는 '해당 파일이 Adobe Security에 의해 보호되고 있어 열람을 위해 이메일과 비밀번호 입력하라는 내용을 담고 있습니다. 실제 피싱 사이트의 입력 폼에 이메일 및 비밀번호를 입력하고 'Open This Document' 버튼을 클릭할 경우 C&C로 입력한 정보가 전송됩니다. 이를 통해 유출된 계정 정보를 통해 추가적인 피해가 발생할 수 있습니다.


[그림 4] C&C로 입력한 정보를 전송하는 화면


한편, 정보 전송과 함께 Adobe 온라인 서버 사용 불가의 내용이 담긴 'Adobe online server unavailable!' 메시지를 보여줍니다. 이는 정보 전송 사실을 숨기고, 이용자를 안심시키기 위함으로 보여집니다.


[그림 5] 이용자를 안심시키기 위한 목적의 메시지


따라서 계정 정보와 같은 민감한 정보를 입력하기 전, 정상 사이트인지 한 번 확인해주시는 보안 습관을 가져주시기 바랍니다.




티스토리 방명록 작성
name password homepage