HTML 피싱 파일이 첨부된 악성 메일 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다.

[그림 1] 포장 명세서 위장 악성 메일

또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다.

[그림 2] 포장 명세서 위장 악성 메일

첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 로그인을 만료 ...'라는 메시지 창이 나오고, 국내 포털 사이트의 아이디 및 비밀번호 입력을 유도하는 웹 페이지가 나옵니다. 이용자에게 메시지 창을 보여주는 이유는 로그인한 계정이 로그아웃된 것처럼 보여주어, 다시 로그인을 위해 입력을 유도하도록 공격자가 의도한 것으로 보여집니다.

[그림 3] 로그인 만료 메시지

[그림 4] 포털 사이트 아이디 및 비밀번호 입력 화면

만일 이용자가 로그인해야 패킹 리스트를 볼 수 있다고 생각하여, 아이디와 비밀번호에 자신의 정보를 기입할 경우, 입력된 정보가 공격자 서버(http://iket[.]usa[.]cc/ml/forum/nna/daum/log[.]php)로 전송되어 정보 유출에 따른 2차적인 피해가 발생할 수 있습니다. 다음은 입력한 정보를 전송하는 코드의 일부이며 디코딩해서 나온 코드입니다.

[그림 5] 정보 전송 코드의 일부

[그림 6] 입력한 정보를 C&C로 전송하는 화면

한편, 관련 메일을 확인하던 중 유사한 변종이 확인되었습니다. 발견된 메일은 앞서 언급한 메일과 유사하게 포장 명세서 및 송장 정보 내용을 담고 있으며, 국내 포털 사이트 아이디 및 비밀번호를 입력하는 HTML 파일이 첨부 파일로 있습니다.

[그림 7] 송장 및 포장 명세서 위장 악성 메일

[그림 8] 포털 사이트 아이디 및 비밀번호 입력 화면 (2)

첨부 파일 'inv 878000-29 - Copy.html' 또한 정보 입력시 C&C(https:office3650-docsfilesharing.com/DCJ/Hanmail/wov-ve[.]php)로 전송됩니다. 다음은 HTML 파일에서 C&C로 전송하는 코드입니다.

[그림 9] C&C로 정보 전송하는 코드

또한 HTML을 확인하던 중, 사용되지 않는 C&C(http://rawearthhampers[.]com[.]au/vx/nav[.]php)를 확인할 수 있었습니다. 

[그림 10] 사용되지 않는 C&C

최근 '제품 견적서', '견적 의뢰' 등을 사칭한 악성 메일이나 GandCrab 랜섬웨어가 첨부파일로 있는 악성 메일에서도 한국어가 사용 되고 있는 만큼 메일 확인 간 이용자들의 세심한 주의가 필요합니다. 

※ 관련글 보기

▶ 국내에 유입된 전신 송금 확인 악성 메일 주의

▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의

▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중

따라서 이용자들은 메일에 있는 출처가 불분명한 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.

현재 알약에서는 첨부된 HTML 피싱 파일을 'Trojan.HTML.Phish'로 진단하고 있습니다.