포스팅 내용

악성코드 분석 리포트

구매 발주로 위장한 국내 포털 피싱 메일 주의!!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.

 

본 메일은 구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다.


[그림1] 구매 발주 제목으로 유포 된 이메일 화면

 

첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다.


[그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면

 

사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집 사이트로 계정정보가 전송됩니다.

 

전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.


[그림3] 수집 된 개인정보 내용

 

개인 정보 수집 사이트 상세 정보

- 개인정보 전달 사이트 : http://www.greenvillageflowers.com/soon/soon/vb.php


- 개인정보 전달 서버 IP : 23.229.172.135

 

본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드 하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


현재 이스트시큐리티쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

 

 

또한 알약에서도 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.



티스토리 방명록 작성
name password homepage