계정 탈취 목적의 악성 HTM 파일이 첨부된 회신 요청 메일 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

지속적으로 계정 탈취 목적의 HTML 악성 파일이 첨부된 악성 메일이 국내에 유포되고 있어 주의를 당부드립니다. 

※ 관련글 보기

▶ HTML 피싱 파일이 첨부된 악성 메일 주의

▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의

이번에 발견된 악성 메일은 8월 7일 이전까지 첨부된 견적 요청서를 읽고 회신해달라는 내용으로, 첨부된 HTM 피싱 파일 실행을 유도합니다.

[그림 1] 회신 요청 악성 메일

이용자가 견적 관련 파일의 내용을 확인하기 위해 메일에 첨부된 'Quote-TN-CH-20951.htm' 파일을 실행할 경우, 다음과 같이 국내 유명 포털 사이트의 아이디 및 비밀번호를 입력을 유도하는 웹 페이지가 열립니다.

[그림 2] 계정 탈취 목적으로 만들어진 가짜 웹 페이지

만일 이용자가 아이디 및 비밀번호 입력폼에 자신이 사용하는 아이디, 비밀번호를 기입하고 '로그인'을 누를 경우, C&C('https://peoplesteam[.]co/Nav/send1[.]php')로 입력한 정보가 전송됩니다. 입력된 정보에 따라 추가적인 개인 정보 유출 등의 피해가 발생할 수 있어 주의가 필요합니다.

[그림 3] 정보 전송 코드

따라서 이용자들은 메일에 있는 출처가 불분명한 링크나 첨부파일에 대해 접근을 삼가시기 바랍니다. 또한 개인 정보와 같은 민감한 정보들을 입력하기 전, 정상 사이트에서 입력하였는지 여부를 한 번 더 확인해주시기 바랍니다.

현재 알약에서는 첨부된 HTM 피싱 파일을 'Trojan.HTML.Phish'로 진단하고 있습니다.