구매 발주로 위장한 국내 포털 피싱 메일 주의!!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 구매 발주 제목으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.

 

본 메일은 “구매발주 : ( PO20617260118219 )” 라는 제목으로 전파되고 있으며, 구매발주서로 위장 된 PO20617260118219.htm 첨부 파일이 확인 되었습니다.

[그림1] 구매 발주 제목으로 유포 된 이메일 화면

 

첨부 된 파일을 클릭 하게 되면 관련 내용을 보기 위해 첨부 파일을 다운로드 받아 실행 하면 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다.

[그림2] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면

 

사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집 사이트로 계정정보가 전송됩니다.

 

전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.

[그림3] 수집 된 개인정보 내용

 

개인 정보 수집 사이트 상세 정보

- 개인정보 전달 사이트 : http://www.greenvillageflowers.com/soon/soon/vb.php

- 개인정보 전달 서버 IP : 23.229.172.135

 

본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드 하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

 

 

또한 알약에서도 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.