포스팅 내용

악성코드 분석 리포트

[주의] FYI 제목으로 전달되는 피싱 메일 주의!!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 FYI 제목으로 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.


FYI는 "For your information"의 줄임말로, "참고하세요"라는 뜻을 가지고 있습니다. 


보편적으로 외국에서 업무 관련하여 이메일 전달 시 많이 사용하고 있는 단어이지만 국내에서는 생소한 단어일 수 있습니다.


이번에 발견된 메일에서는 BL Copy.html, Packing List.html 같이 선하증권 또는 포장명세서로 위장된 첨부 파일이 확인되었습니다.


[그림1] FYI 제목으로 유포 된 이메일 화면


첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 [Microsoft Excel 2016 로그인 요청 화면]이 보여지게 됩니다.

 

[그림 2] 첨부 파일 실행 시 보이는 로그인 화면


사용자가 실제 MS Office 365 로그인 계정과 패스워드를 입력할 경우, 개인정보 수집 사이트로 계정 정보가 전송됩니다.


전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.

(현재 사용자의 개인정보는 전달이 되지만, 이후 서버가 동작하지는 않습니다.)


[그림 3] 개인 정보 수집 도메인 상세 내용


개인 정보 수집 사이트 상세 정보

- 개인정보 전달 사이트 : http://capital******.ml/config/***-*******400.php


- 개인정보 전달 서버 IP : 176.99.*.**

 


본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 

첨부된 파일을 다운로드 하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다. 


이와 관련된 IoC(침해 지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.


현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림 4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면


또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.


티스토리 방명록 작성
name password homepage