포스팅 내용

악성코드 분석 리포트

계정 탈취 목적의 악성 HTM 파일이 첨부된 회신 요청 메일 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


지속적으로 계정 탈취 목적의 HTML 악성 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 



이번에 발견된 악성 메일은 8월 7일 이전까지 첨부된 견적 요청서를 읽고 회신해달라는 내용으로, 첨부된 HTM 피싱 파일 실행을 유도합니다.


[그림 1] 회신 요청 악성 메일


이용자가 견적 관련 파일의 내용을 확인하기 위해 메일에 첨부된 'Quote-TN-CH-20951.htm' 파일을 실행할 경우, 다음과 같이 국내 유명 포털 사이트의 아이디 및 비밀번호를 입력을 유도하는 웹 페이지가 열립니다.


[그림 2] 계정 탈취 목적으로 만들어진 가짜 웹 페이지


만일 이용자가 아이디 및 비밀번호 입력폼에 자신이 사용하는 아이디, 비밀번호를 기입하고 '로그인'을 누를 경우, C&C('https://peoplesteam[.]co/Nav/send1[.]php')로 입력한 정보가 전송됩니다. 입력된 정보에 따라 추가적인 개인 정보 유출 등의 피해가 발생할 수 있어 주의가 필요합니다.


[그림 3] 정보 전송 코드


따라서 이용자들은 메일에 있는 출처가 불분명한 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.


현재 알약에서는 첨부된 HTM 피싱 파일을 'Trojan.HTML.Phish'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage