포스팅 내용

악성코드 분석 리포트

PDF 파일을 기반으로 하는 애플 피싱 메일 유포 중!


안녕하세요

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


PDF 파일을 기반으로 하는 애플 피싱메일이 유포되고 있어 주의가 필요합니다.


이번에 발견된 피싱 메일은 사용자의 애플 계정이 잠겼다는 내용과 함께 PDF 파일이 첨부되어 있습니다.


[그림1] 애플 서비스로 위장한 피싱메일


사용자가 첨부되어 있는 PDF 를 클릭하면, 비합법적인 로그인으로 인하여 계정 사용이 중지되었다는 내용과 함께 계정확인 링크가 포함되어 있어 사용자들의 클릭을 유도합니다.


[그림2] 계정 사용 중지 안내와 계정확인 링크


해당 PDF 파일 자체는 어떠한 악성기능도 포함하고 있지 않으며, 악성 페이지로 사용자를 이동시키는 매개체 역할을 합니다.


사용자가 계정확인 버튼을 클릭하면, 공격자가 제작해놓은 그럴듯한 애플 페이지가 뜨며, 사용자의 애플 계정정보 입력을 유도합니다.


[그림3] 애플 계정정보 입력 사이트


사용자가 계정정보를 입력하면 입력한 계정정보가 공격자에게 전송되며, 동시에 계정확인이라는 명목으로 개인정보와 금융정보를 요구합니다.


[그림 4] 개인정보와 금융정보를 요구하는 화면[그림 4] 개인정보와 금융정보를 요구하는 화면  


만약 사용자가 공격자가 요구하는 정보들을 모두 입력 후 continue 버튼을 누른다면, 입력한 정보들은 모두 공격자 서버로 전송되게 됩니다.


이에 사용자여러분들께서는 출처불분명한 사용자에게서 수신된 이메일 내 의심스러운 링크의 클릭을 지양하시는 습관을 길러야겠습니다.


관련 ioc 정보는 ThreatInside에서 확인하실 수 있습니다. 



티스토리 방명록 작성
name password homepage