포스팅 내용

악성코드 분석 리포트

"어벤져스 : 엔드게임" 무료 시청으로 위장된 피싱 사이트 주의!!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 마블 스튜디오의 어벤져스 시리즈 "어벤져스 : 엔드게임"이 국내/외에서 많은 관심을 받고 있는 상황에서

사용자의 정보를 가로채는 피싱 사이트가 발견되어 사용자들의 각별한 주의가 필요합니다.


[그림 1] 어벤져스 : 엔드게임 무료 시청 피싱 사이트


피싱 사이트는 사용자가 검색을 통해 접속하는 방식으로 사회공학(Social Engineering)기법이 사용 되었습니다.


현재 다수의 웹사이트를 제작 한 것으로 보이며 시큐리티대응센터(ESRC)에서는 관련 사이트를 지속적으로 추적 중입니다.


사용자가 피싱 사이트에 접속하게 되면 "어벤져스 : 엔드게임" 영상을 무료로 볼 수 있다고 설명하고 있으며, 실제 영상 플레이를 클릭하게 되면 몇 초간 영상이 플레이 되지만 바로 영상이 정지되면서 무료 계정을 생성해야 한다고 사용자에게 전달합니다.


[그림 2] 영상 시청을 위해 사용자 계정 등록 알림 화면


[그림 3] 사용자 계정 등록 기입 사이트 화면

접속 한 사용자가 무료 계정을 생성하여 로그인하면 카드정보를 입력하는 또 다른 사이트로 이동합니다.

해당 사이트에서는 신용카드 정보(이름, 신용카드번호, 만료일, CVV)를 요구하지만, 사용자 동의없이 금액이 청구되지는 않는다고 사이트에 표시하고 있습니다.


[그림 4] 사용자 신용카드 정보 기입 사이트 화면


금액이 청구되지는 않지만 사용자가 기입 한 신용카드 정보는 모두 공격자에게 전송하게 됩니다.

전송된 개인 정보 수집 도메인 정보 및 내용을 좀 더 상세히 살펴보면 다음과 같습니다.


[그림 5] 공격자에게 전달 된 사용자 신용카드 정보


피싱 사이트 및 개인 정보 수집 사이트 상세 정보

피싱사이트 : https://j***-*****-**.***/*****/*********/avengers-endgame-2019/


개인정보 전달 사이트 : https://secure.*****.******/*


피싱사이트 서버 IP : 104.28.**.**


(보다 정확한 IoC 정보는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.)


사회공학기법은 최근 가장 이슈가 되는 내용을 가지고 사용자들의 클릭을 유도하기 떄문에 검색을 통해서 사이트에 접속 할 떄에는 의심되는 링크는 클릭하지 않는 것이 중요합니다. 


또한 사이트에서 강제적으로 진행하는 계정 생성을 피하고, 알려지지 않은 사이트에서의 개인정보 기입은 하지 않는 습관이 필요합니다.


이와 관련된 IoC(침해 지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.


[그림 6] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면




티스토리 방명록 작성
name password homepage