국내 유명 포탈 로그인 페이지를 사칭한 개인정보 탈취 피싱 사이트 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

금일(2019/09/05) ESRC에서는 견적서 검토를 요청하는 메일로 속인 악성 피싱 메일이 포착하였습니다.

[그림 1] 견적서 검토를 사칭한 피싱 메일

메일에 첨부된 zip 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인하실 수 있습니다.

Filename	MD5
PO190988765.htm	39578968CD2C3271D1A44E4FD893B11B
DWG.htm	39578968CD2C3271D1A44E4FD893B11B

사용자가 해당 파일을 견적서와 관련된 파일로 착각해 클릭하면 국내 유명 포털의 로그인 화면으로 꾸민 피싱 사이트로 이동됩니다.

[그림 2] 국내 유명 포털의 로그인 화면으로 위장한 피싱 사이트

만약 해당 로그인 페이지로 꾸민 피싱 페이지에 사용자의 로그인 정보를 입력할 경우, 피싱 사이트 제작자에게 사용자의 계정 및 비밀번호가 전달됩니다.

[그림 3] 공격자에게 전달되는 계정정보

※ 공격자 C&C 주소

- hxxps[:]//dfwmovers.com/wp-admin/includes/bix[.]php

최근, 피싱 메일을 통해 사용자 개인 정보를 탈취하는 피싱 페이지 유포 사례가 많이 발견되고 있습니다.

따라서 본인이 모르는 사용자로부터 온 메일의 경우, 첨부된 파일이 어떤 행위를 하는지 알 수 없기 때문에 조금이라도 의심이 들 경우 절대 첨부된 파일이나 링크를 클릭하지 말아야 합니다.

현재 이스트시큐리티 '쓰렛 인사이드(Threat Inside)'에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림 4] 개인정보 수집 사이트 탐지 결과 화면

또한, 알약에서는 첨부된 악성 파일에 대해 'Trojan.HTML.Phish'으로 탐지 중에 있습니다.