안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
금일(2019/09/05) ESRC에서는 견적서 검토를 요청하는 메일로 속인 악성 피싱 메일이 포착하였습니다.
[그림 1] 견적서 검토를 사칭한 피싱 메일
메일에 첨부된 zip 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인하실 수 있습니다.
Filename |
MD5 |
PO190988765.htm |
39578968CD2C3271D1A44E4FD893B11B |
DWG.htm |
39578968CD2C3271D1A44E4FD893B11B |
사용자가 해당 파일을 견적서와 관련된 파일로 착각해 클릭하면 국내 유명 포털의 로그인 화면으로 꾸민 피싱 사이트로 이동됩니다.
[그림 2] 국내 유명 포털의 로그인 화면으로 위장한 피싱 사이트
만약 해당 로그인 페이지로 꾸민 피싱 페이지에 사용자의 로그인 정보를 입력할 경우, 피싱 사이트 제작자에게 사용자의 계정 및 비밀번호가 전달됩니다.
[그림 3] 공격자에게 전달되는 계정정보
※ 공격자 C&C 주소
- hxxps[:]//dfwmovers.com/wp-admin/includes/bix[.]php
최근, 피싱 메일을 통해 사용자 개인 정보를 탈취하는 피싱 페이지 유포 사례가 많이 발견되고 있습니다.
따라서 본인이 모르는 사용자로부터 온 메일의 경우, 첨부된 파일이 어떤 행위를 하는지 알 수 없기 때문에 조금이라도 의심이 들 경우 절대 첨부된 파일이나 링크를 클릭하지 말아야 합니다.
현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.
[그림 4] 개인정보 수집 사이트 탐지 결과 화면
또한, 알약에서는 첨부된 악성 파일에 대해 'Trojan.HTML.Phish'으로 탐지 중에 있습니다.
Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (0) | 2019.09.20 |
---|---|
비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (0) | 2019.09.11 |
특정 기관을 사칭해 견적서를 요청하고 데이터를 탈취하는 스피어 피싱 메일 주의! (0) | 2019.09.03 |
라자루스(Lazarus), 사회공학적 기법으로 당신의 비트코인을 노린다! (0) | 2019.08.30 |
비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (0) | 2019.08.27 |
댓글 영역