견적 송장(PROFORMA INVOICE)을 위장한 피싱 메일 주의!

안녕하세요. ESRC 입니다. 

이메일 계정을 탈취하는 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 

이번 피싱 메일은 견적 송장을 위장하고 있습니다. 

[그림1] 악성 메일

피싱 메일은 첨부한 파일을 확인하라는 내용과 함께 htm 파일을 첨부합니다. 

만약 사용자가 첨부되어 있는 html 파일을 클릭하면 다음과 같이 PDF를 내려받으라는 페이지가 뜨며, 다운로드 PDF 버튼을 클릭하면 이메일 계정정보를 입력하라는 창이 나타납니다. 

 

[그림2] PDF 다운로드 페이지를 위장한 페이지

[그림3] 계정 입력을 유도하는 창

사용자가 만약 이 이메일 입력란에 이메일 계정정보를 입력하고 계속 버튼을누르면 비밀번호를 입력하라는 창이 뜨며, 사용자가 비밀번호와 이메일을 입력할 경우 이렇게 입력한 정보들을 모두 해커의 C&C로 보냅니다. 

[그림4] 공격자가 C&C 서버로 전송하는 파일

이렇게 유출된 계정정보들은 크리덴셜스터핑과 같은 2차 공격에 악용되기 쉽습니다. 

이에 사용자 여러분들은 출처가 불분명한 사용자에게서 온 이메일 첨부파일 실행을 지양해주시기 바라며, 알약과 같은 신뢰할 수 있는 백신을 사용해 주시기 바랍니다. 

현재 알약은 해당 htm파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다.

※ IoC 정보

- 피싱 사이트 도메인

hxxps://agonic-area.000webhostapp[.]com/webnet.php?code=2018900

- 피싱 사이트 IP

145.14.145.90 (US)

- 이메일 계정 정보 전달

hxxps://agonic-area.000webhostapp[.]com/ver.php

- 패스워드 정보 전달

hxxps://agonic-area.000webhostapp[.]com/up.php