상세 컨텐츠

본문 제목

[주의] FYI 제목으로 전달되는 피싱 메일 주의!!

악성코드 분석 리포트

by 알약(Alyac) 2019. 5. 31. 14:12

본문


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 FYI 제목으로 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.


FYI는 "For your information"의 줄임말로, "참고하세요"라는 뜻을 가지고 있습니다. 


보편적으로 외국에서 업무 관련하여 이메일 전달 시 많이 사용하고 있는 단어이지만 국내에서는 생소한 단어일 수 있습니다.


이번에 발견된 메일에서는 BL Copy.html, Packing List.html 같이 선하증권 또는 포장명세서로 위장된 첨부 파일이 확인되었습니다.


[그림1] FYI 제목으로 유포 된 이메일 화면


첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 [Microsoft Excel 2016 로그인 요청 화면]이 보여지게 됩니다.

 

[그림 2] 첨부 파일 실행 시 보이는 로그인 화면


사용자가 실제 MS Office 365 로그인 계정과 패스워드를 입력할 경우, 개인정보 수집 사이트로 계정 정보가 전송됩니다.


전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.

(현재 사용자의 개인정보는 전달이 되지만, 이후 서버가 동작하지는 않습니다.)


[그림 3] 개인 정보 수집 도메인 상세 내용


개인 정보 수집 사이트 상세 정보

- 개인정보 전달 사이트 : http://capital******.ml/config/***-*******400.php


- 개인정보 전달 서버 IP : 176.99.*.**

 


본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 

첨부된 파일을 다운로드 하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다. 


이와 관련된 IoC(침해 지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림 4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면


또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.


관련글 더보기

댓글 영역