포스팅 내용

악성코드 분석 리포트

웹페이지에서 사용자 메일과 비밀번호 정보를 탈취하는 스피어 피싱 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2019년 07월 05일, 웹페이지상에서 사용자의 메일과 비밀번호를 입력하게끔 유도하는 스피어 피싱이 발견되었습니다.


이 피싱 메일들은 조달 견적 요청 메일과 송금 증명서(remittance certificate)를 사칭하여 유포되었습니다.



[그림 1] 조달 견적 사칭 메일


[그림 2] 송금 증명서(remittance certificate) 사칭 메일



이번에 발견된 피싱메일은 중소기업을 타깃으로 유포되었으며, 각가 htm 파일과 dat 파일을 첨부한 것이 특징입니다.


먼저, 조달 견적을 사칭한 메일의 htm 파일을 열어보면 다음과 같이 국내 포털 사이트인 네이버 로그인 화면을 보여줍니다.



[그림 3] 네이버 로그인 페이지를 사칭한 피싱 사이트



사용자가 해당 페이지를 네이버 포털 사이트의 로그인 페이지로 착각해 본인의 아이디와 비밀번호를 입력한다면, 실제 로그인되지는 않고 사용자 계정 정보만 공격자의 서버로 전송됩니다.


dat 파일을 첨부한 피싱 메일의 경우, 첨부 파일의 dat 파일이 아닌 본문에 삽입된 링크를 클릭할 시, 피싱 페이지로 연결됩니다.



[그림 4] PDF 파일 확인을 사칭한 피싱 사이트



해당 피싱 사이트 역시, 사용자가 PDF 파일 내용을 확인하기 위해 팝업된 창에 이메일 및 비밀번호를 입력한다면, 사용자 계정 정보가 공격자의 서버로 전송됩니다.


현재 해당 페이지는 접근이 불가합니다.


개인정보 수집 사이트 상세 정보

- https://business-pager.info/signin/config/send[.]php

- https://6ab4b7f4.ngrok.io/DeulceLtd/PaymentPortal/deulce[.]html 


본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



[그림 5] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면



또한, 현재 알약에서는 해당 피싱 메일에 첨부된 악성파일에 대해 'Trojan.HTML.Phish'으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage