포스팅 내용

악성코드 분석 리포트

사서함 공간 업그레이드 내용으로 유포되는 악성 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 지속적으로 국내에 사서함 공간 업그레이드 내용으로 계정 탈취 목적의 악성 메일이 유포되고 있어 주의를 당부드립니다.



이번에 발견된 메일은 사서함 할당 초과로 인한 이메일 수신 불능으로 계정 업그레이드를 유도하는 내용이 담겨 있으며, '업그레이드하려면 여기를 클릭하십시오' 버튼을 클릭하도록 유도합니다.



[그림 1] 사서함 공간 업그레이드 위장 악성 메일


버튼을 클릭할 경우 다음과 같이 아이디 및 비밀번호를 입력하는 피싱 사이트로 연결이 이루어집니다.


[그림 2] 정보 입력을 유도하는 피싱 사이트


이용자가 '이메일 주소'와 '암호' 입력 폼에 정보를 기입하고, '계속하려면 로그인하십시오.' 버튼을 클릭할 경우, 이메일 검증 완료 내용이 담긴 웹 페이지로 연결합니다. 이메일 검증 완료 내용을 보여주는 이유는 이용자에게 입력한 정보를 C&C(foreverboots[.]com)로 전송하는 점을 숨기기 위함으로 보여집니다.


[그림 3] 이메일 검증 완료 내용이 담긴 웹 페이지


실제 C&C로 입력한 정보를 전송하는 화면은 다음과 같습니다.


[그림 4] C&C로 입력한 정보를 전송하는 화면


따라서 이용자들은 출처가 불분명한 메일에 있는 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.


티스토리 방명록 작성
name password homepage