포스팅 내용

악성코드 분석 리포트

구매주문, 명세서 등으로 위장하여 대량 유포되고 있는 피싱 메일 주의!


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


11월 20일부터 금일(26일)까지 불특정다수의 기업을 상대로 구매주문, 명세서, 견적서 등 다양한 제목으로 위장한 피싱 메일이 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 


이 피싱메일들은 별다른 내용을 포함하고 있지 않으며, htm 파일이 첨부되어 있는 이메일을 사용자에게 발송합니다. 




[그림1] 유포 중인 피싱 메일



사용자가 첨부되어 있는 htm 파일을 클릭하면, 네이버 로그인 화면을 위장한 페이지가 뜨게 됩니다. 



[그림2] 네이버 로그인 화면을 위장하고 있는 htm 파일


만약 해당 로그인창을 진짜 네이버 로그인창으로 오인하여 계정정보를 입력할 경우, 입력한 계정정보는 모두 공격자의 서버로 전송되며, 전송 후에는 자동으로 네이버 메일 화면으로 리디렉션 되게 됩니다. 


사용자가 현재 사용하고 있었던 브라우저에서 네이버 로그인이 되어 있었다면, 자신의 네이버 메일함으로 넘어가기 때문에 실제 자신의 정보가 유출된 것을 알아차리기 힘듭니다. 


현재 유포되고 있는 피싱 메일은 네이버화면 뿐만 아니라 다음 로그인 화면으로도 위장하여 유포되고 있으며 다양한 이메일 제목으로 유포되고 있습니다. 


메일제목 

첨부파일명 

[****] 구매주문 2019/11/25

 구매주문20191125.htm

주문용지

주문용지.htm 

 시스템 미디어 로그 .{애플 웹 검토 순서}

 시스템 미디어 로그 .{애플 웹 검토 순서}.htm 

 일반 뉴스 / 변경된 관리목록

 2018 변경된 관리목록_최종(20191122).htm

 FYI

Order.zip 

 10월 2,3주 주간회의 자료 입니다.

첨부2 - 골조현황판(**기업).html 

[표1] 유포되고 있는 악성 메일제목 및 첨부파일명 사례중 일부


공격자들은 이렇게 불특정다수의 기업사용자들에게 수집한 계정정보들을 기반으로, 2차 사이버 공격에 사용할 수 있기 때문에 사용자들의 각별한 주의가 필요합니다. 


현재 알약에서는 해당 악성 메일들에 대하여 Trojan.HTML.Phish으로 탐지중에 있으며, ThreatInside에서 관련 IoC를 확인하실 수 있습니다. 





티스토리 방명록 작성
name password homepage