포스팅 내용

악성코드 분석 리포트

특정 전자제품 유통회사 내부계정을 노리는 피싱 공격 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


오늘 오전 특정 전자제품 유통회사의 관리자를 사칭한 피싱 메일이 발견되었습니다.


이번에 포착된 피싱 메일은 타깃인 특정 전자제품 유통회사의 직원에게 '귀하의 계정에서 이메일 전송이 중단'되었다면서 첨부파일을 실행하여 수동으로 계정을 확인하라고 하며 계정정보 입력을 유도하는 내용을 담고 있습니다.


[그림 1] 이메일 전송이 중단되었다며 첨부파일 열람 유도하는 피싱 메일


특히, 공격자는 메일이 발송된 후 이틀 후까지 계정 확인 작업을 하지 않으면 계정이 영구적으로 종료된다고 빠른 계정정보 입력을 독촉하기까지 하고 있습니다.


이메일과 함께 첨부된 html파일을 열면 다음과 같은 계정정보 입력창이 뜨게 됩니다.


[그림 2] 메일에 첨부된 html파일 실행시 열리는 계정입력 피싱화면


계정정보 입력창에도 역시 메일 본문에 있는 내용과 마찬가지로 '영구적으로 종료되지 않도록 계정을 확인하라는 이야기와 함께 피싱 메일을 수신한 사람의 이메일 주소가 이미 고정되어 있는 계정입력창을 보여주고 메일 수신자로 하여금 계정 암호를 입력하게 합니다. 여기서 수신자가 계정 암호를 입력하게 되면, 계정정보는 공격자에게 넘어가게 됩니다.


피싱 화면 하단에는 이용 약관에 동의를 구하는 내용과 체크박스까지 포함시키고 있으며 이유는 정확하게 알 수 없으나, 번역기능까지 제공하고 있습니다.


피싱 사이트

- moon-star[.]ir/wp-content/kr_auth/mailboxupdate-freequota5gb28/2qKUbX5mrX/home.php



정교하게 제작된 피싱 메일을 자세히 확인해보지 않으면 일반 사용자들은 피싱 메일인지 알기 어렵습니다.


따라서 본인이 모르는 발신자로부터 온 메일의 경우 꼭 내용을 확인해야 하며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다.


또한 사내 보안팀에 의심 메일을 적극적으로 신고하는 습관을 들여야 합니다.



현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.


[그림 3] ESTsecurity-Threat Inside 피싱 사이트 탐지 화면



티스토리 방명록 작성
name password homepage