포스팅 내용

악성코드 분석 리포트

[주의] 국내 특정 해양회사로 사칭한 피싱 메일 유포 중!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019년 04월 15일) 대우조선해양으로 사칭한 피싱 메일이 유포되어 사용자들의 주의가 필요합니다. 

[그림 1] 대우조선해양을 사칭한 피싱 메일

이 피싱 메일에는 “...DSME INQUIRY...” 제목의 대우조선해양 견적참여 요청이라는 내용이 들어있으며, HTML 형태의 파일이 첨부되어 있습니다.

[피싱 메일 본문 내용]
DSME]대우조선해양에서 견적참여 요청
첨부 파일을 열어주세요 
견적의뢰번호: KR5564300
견적 마감일: 2018.10.22
https://icops.dsme.co.kr

사용자가 만약 HTML 파일을 실행하면 다음과 같이 코리아닷컴 페이지를 위장한 피싱 페이지가 열리게 됩니다.

[그림 2] 코리아닷컴을 위장한 피싱 페이지

대우조선해양 견적참여를 위해 코리아닷컴으로 로그인을 유도하며, 사용자가 해당 페이지에 코리아닷컴 아이디와 비밀번호로 로그인한다면 아래와 같이 계정 정보를 공격자에게 전송하게 됩니다.

[그림 3] 탈취된 개인정보

전송된 개인정보 수집 도메인 정보 및 내용을 좀 더 상세히 살펴보면 다음과 같습니다.

[그림 4] 개인 정보 수집 도메인 상세 내용

개인 정보 수집 도메인 주소
- https://trinimcvx.xxxxxxxxxxxxxxxxxx.com/post[.]php (145.14.xxxx.xxxx)

피싱 사이트 내용 중 로그인 관련만 공격자 서버와 연결되어 있으며, 회원가입이나 아이디∙비밀번호 찾기 버튼의 경우 실제 코리아닷컴 페이지와 연결되어 있습니다.

[그림 5] 회원가입 버튼 클릭 시 화면

[그림 6] 아이디∙비밀번호 찾기 버튼 클릭 시 화면

각 기업의 외부 업무 담당자들께서는 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 클릭을 지양해 주시기 바랍니다. 또한, 자신의 계정이 로그인 되는 사이트의 URL을 확인하는 습관을 길러야 합니다.

이와 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

현재 알약에서는 해당 악성 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.


티스토리 방명록 작성
name password homepage