포스팅 내용

악성코드 분석 리포트

포털 사이트 및 사무관을 사칭하여 계정 정보 노리는 피싱 메일 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. 


ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다.


네이버 계정 비밀번호 유출을 사칭한 피싱 메일


첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다.


[그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일


사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면, 그림과 같이 마치 진짜 네이버 계정 비밀번호 변경 페이지인 것처럼 보이는 피싱 사이트로 연결됩니다.


[그림 2] 피싱 사이트 vs 실제 사이트 비밀번호 변경 페이지 비교


비밀번호 변경을 유도하는 피싱 사이트는 UI는 실제 사이트와 거의 똑같지만 자세히 보시면, 실제 사이트와 달리 HTTPS 설정이 되어 있지 않으며, 도메인 주소도 실제 주소랑 상이합니다.


하지만, 공격자가 탈취하고 싶은 계정을 상대로 메일을 보냈기 때문에 로그인된 계정은 본인 계정으로 보여, 주의 깊게 페이지를 보지 않으면 피싱 사이트라는 것을 알기 어렵습니다.


사용자가 피싱 사이트에서 네이버 계정 비밀번호를 변경하면, 아래와 같이 변경된 비밀번호 및 계정 정보가 공격자 서버로 전송됩니다.


전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.


[그림 3] 탈취된 사용자 계정 정보 화면


개인 정보 수집 사이트 상세 정보

- 피싱 및 개인정보 전달 사이트 : http[:]//member-center.pe.hu/account/

- 피싱 및 개인정보 전달 서버 IP : 185.224.137[.]164


사무관 사칭한 피싱 메일


두번째 피싱 메일은 사무관을 사칭해 "미국취합본 보고자료"라며 메일에 첨부된 악성 파일을 다운로드하도록 유도하는 메일입니다.


[그림 4] 사무관을 사칭한 피싱 메일


해당 메일에 대용량 첨부파일 화면은 HTML로 대용량 첨부파일인 것처럼 꾸민 화면이며, 사용자가 해당 내용을 확인하기 위해 화면을 클릭하면 다음과 같이 네이버 로그인 화면으로 꾸며진 피싱 사이트로 연결됩니다.


[그림 5] 네이버 로그인 화면을 사칭한 피싱 화면 


실제 로그인 화면과 거의 똑같지만 자세히 보면 로그인 도메인이 실제 로그인 페이지의 도메인과 약간 다르다는 것을 알 수 있습니다.


[그림 6] 실제 네이버 로그인 화면


자세히 살펴보면 로그인 피싱 사이트의 도메인은 "https://nid.nhn-login.com"이며, 실제 로그인 페이지의 주소는 "https://nid.naver.com"입니다.


하지만 사용자가 이와 같은 미세한 차이점을 알기 어려우며, 피싱 메일의 "미국취합본 보고자료"를 다운로드하기 위해 네이버 로그인이 필요하다고 착각해, 계정 정보를 입력하면 아래와 같이 공격자의 서버로 계정 정보가 유출됩니다.

 

[그림 7] 탈취된 사용자 계정 정보 화면


개인 정보 수집 사이트 상세 정보

- 피싱 및 개인정보 전달 사이트 : https[:]//nids.nhn-login.com/nidlogin.login

- 피싱 및 개인정보 전달 서버 IP : 139.180.141[.]39


발견된 피싱 공격 분석을 토대로 ESRC에서는 이번 스피어 피싱 공격이 특정 정부기관의 지원을 받는 사이버 범죄 그룹의 소행으로 추측하고 있습니다.


본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.





티스토리 방명록 작성
name password homepage