포스팅 내용

악성코드 분석 리포트

계정 보안으로 위장한 국내 포털 피싱 메일 주의!!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 계정 서비스가 보안상으로 잠겨서 로그인을 통해 신원정보 하라는 악성 피싱 메일이 발견되어 주의를 당부드립니다.

 

본 메일은 마지막 경고제목으로 전파되고 있으며, 보안상의 이유로 사용자 계정 서비스를 처리 할 수 없고 포털 사이트의 모든 서비스가 일시 중지 된다고 사용자를 속입니다.


이후 신원정보를 위해 제작자가 만들어 둔 피싱 사이트에 로그인을 하도록 사용자들의 클릭을 유도 합니다.


[그림 1] 피싱 사이트가 포한 된 메일 본문

 


사용자가 로그인을 위해 클릭 하는 순간 국내 포탈 피싱 사이트로 연결됩니다

[그림 2] 다음 메일 피싱 사이트

 


사용자가 신원 정보를 확인하기 위해 해당 페이지에 계정 정보를 입력한다면입력한 개인정보는 모두 제작자에게 넘어가게 됩니다.

[그림 3] 사용자 계정정보 전송 화면

 


개인정보를 수집하는 코드를 살펴보면사용자가 입력한 ID, Password를 수집하며 추가적으로 사용자의 IP주소를 수집하여 특정 메일로 전송 하는 것을 알 수 있다.


[그림 4] 사용자 계정정보 수집 코드

 

본 메일에 기재 된 사이트를 분석 중 제작자의 피싱 사이트 리스트를 확인 하였으며 다음(Daum)뿐만 아니라 마이크로 소프트 핫메일(Hot Mail)도 추가적으로 발견되었습니다.

[그림 5] 마이크로소프트 핫메일 피싱 사이트 화면

 

 

사용자 여러분들께서는 의심스러운 링크의 클릭을 지양하시고로그인 할 때에는 반드시 해당 URL을 확인하는 습관을 길러야 합니다

[그림 6] 바이러스토탈 피싱 사이트 탐지 화면

 


해당 피싱 사이트에 대한 더 자세한 정보는 Threat Inside에서 확인하실 수 있습니다.


티스토리 방명록 작성
name password homepage