포스팅 내용

악성코드 분석 리포트

계정 탈취 목적의 계약 체결 위장 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지속적으로 국내 이용자를 대상으로 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다.



이번에 발견된 메일은 계약 체결 내용으로 첨부 파일 '체결 된 계약.zip' 실행을 유도합니다.


[그림 1] 계약 체결 위장 악성 메일


첨부 파일 '체결 된 계약.zip'에는 동일한 해시를 가진 'oi k cn.html', 'STATEMENT OF ACCOUNT.html' HTML 피싱 파일이 있습니다. 


[그림 2] 첨부 파일 '체결 된 계약.zip'


이용자가 첨부 파일을 실행할 경우, 다음과 같이 'Daum 오류 : 다운로드를 다시 시작하려면 확인을 클릭하십시오' 메시지가 나타납니다. 오류 메시지를 보여주는 이유는 계약 관련 문서를 다운받을 수 있는 것처럼 보여주기 위함으로 보입니다.


[그림 3] 파일 다운로드 오류 메시지


메시지에서 '확인'을 누를 경우 아이디와 비밀번호 입력을 유도하는 국내 포털 사이트로 위장한 웹 페이지가 나옵니다.


[그림 4] 아이디 및 비밀번호 입력을 유도하는 HTML 파일


만일 이용자가 계약 문서를 다운로드하기 위해 아이디 및 비밀번호를 입력하고 '로그인' 버튼을 클릭 할 경우, 공격자가 구축한 C&C(http://jmlr[.]com[.]br)로 입력한 정보가 전송됩니다. 


[그림 5] 입력한 정보를 C&C로 전송하는 화면


관련하여 유사한 변종을 확인하던 중 상품 입항 예정 내용으로 첨부된 HTML 피싱 파일을 실행하는 악성 메일이 발견되었습니다.


[그림 6] 상품 입항 예정 악성 메일


첨부된 HTML 피싱 파일 'KakaoTalk_20180605_4513119540.htm'은 또 다른 국내 포털 사이트 로그인 화면으로 위장한 웹 페이지입니다. 아이디 및 비밀번호 입력시 입력한 정보를 C&C(http://93[.]115[.]38[.]30/~jonesbe2/john/brain/veds[.]php)로 전송합니다. 다음은 로그인 화면 및 입력한 데이터를 C&C로 보내는 화면입니다.


[그림 7] 아이디 및 비밀번호 입력 유도하는 화면


[그림 8] C&C로 정보를 전송하는 화면


공격자에게 넘어간 아이디 및 비밀번호 정보를 토대로 추가적인 정보 유출 피해 등이 발생할 수 있어 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부 파일 혹은 링크에 접근을 삼가시기 바랍니다. 또한 계정 정보와 같은 민감한 정보를 입력하기 전, 정상 사이트인지 한 번 확인해주시는 보안 습관을 가져주시기 바랍니다.


현재 알약에서 'Trojan.HTML.Phish'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage