상세 컨텐츠
본문
안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.
전 세계가 신종 코로나 바이러스 감염증 일명 ‘우한 폐렴’ 공포에 휩싸인 가운데, 우리나라도 네 번째 확진자가 발생하면서 감염 확산 우려가 커지고 있습니다.
이러한 와중에 최근 사용자들의 공포심을 이용해 우한 폐렴과 관련한 사회적 이슈를 악용한 광고성 문자 메시지가 유포되는 것이 확인되어 사용자들의 주의가 필요합니다.
유포된 광고성 문자 메시지의 내용은 아래와 같고, 3가지 사례가 보고되었습니다.
- [Web발신] 국내 우한폐렴 급속도확산 감염자 및 접촉자 신분정보 확인하기 news.naver.com.xco.kr
- [Web발신] (속보)박근혜전대통령 숨진채 발견 뉴스 news.naver.coi.kr 보러가기
- [Web발신] 코로나 전염병환자 휴게소에서 수많은 사람과 접촉 http://tor.kr/pDX 접촉 휴게소 확인
약 10일전에도 전 대통령의 부고를 알리는 가짜뉴스를 악용하여 유사한 광고성 문자 메시지가 유포된 사례가 존재했는데, 이 때 역시 이번 케이스와 마찬가지로 국내 유명 포털 뉴스 사이트와 유사한 도메인을 생성하여 사용자의 클릭을 유도하는 행태를 보이고 있습니다.
[그림 1] 실제 유포된 자극적인 허위 내용의 문자메시지 화면
사용자가 해당 도메인을 클릭했을 경우, [그림 1-1]과 같이 카카오 계정으로 로그인하라는 화면이 보여집니다.
[그림 1-1] 사이트 접속 시 보여지는 카카오 계정 로그인 화면
이는 카카오 계정 피싱으로 의심하기 쉽지만, 실제로는 정상적인 카카오계정 로그인 화면입니다.
[그림 2]와 같이 사이트 코드를 확인하면 Frame 태그를 이용하여 http://pf.kakao.com/_gszxhxb/friend 이라는 카카오채널의 화면을 보여주게 되어있습니다.
[그림 2] 사이트 소스 코드 내 Frame 태그 연결 화면
만약 사용자 스마트폰에 카카오 계정이 로그인되어 있는 상태라면, [그림 1-1]과 같은 로그인 화면이 아니라 [그림 3]과 같은 같은 채널 추가 화면으로 넘어가서 특정 '자산관리자 OOO'의 카톡 채널로 이동하게 됩니다.
[그림 3] 카카오 계정 로그인이 되어 있는 상태에서 연결되는 광고성 카톡 채널 화면
문구들을 살펴보면 대부분 소액 투자로 많은 수익을 얻은 듯한 광고를 하고 있습니다.
이번에 확인된 news.naver.com.xco.kr 사이트 분석결과, 도메인과 내용이 비슷한 사이트들이 다수 확인되었습니다. 사이트 제작자는 news.naver와 같이 유명한 사이트 도메인과 유사한 도메인을 가지고 지속적으로 광고성 메시지를 보낸 것으로 파악됩니다.
|
도메인 |
IP 주소 |
|
news.naver.xco.kr |
115.68.227.7 |
|
news.naver.com.xco.kr |
115.68.227.7 |
|
daum.news.xco.kr |
115.68.227.7 |
|
chat.coi.kr |
115.68.227.7 |
|
info777.coi.kr |
115.68.227.7 |
|
chaturbate.com.coi.kr |
115.68.227.7 |
|
moa17.coi.kr |
115.68.227.7 |
|
poovinaeuv.coi.kr |
115.68.227.7 |
|
totopick.coi.kr |
115.68.227.7 |
|
doande.coi.kr |
115.68.227.7 |
|
lycos.coi.kr |
115.68.227.7 |
|
modacom.coi.kr |
115.68.227.7 |
|
xn--sticker-og20ag75g9ol.coi.kr |
115.68.227.7 |
|
yahoo.coi.kr |
115.68.227.7 |
|
ociduancoq.coi.kr |
115.68.227.7 |
해당 사이트들의 도메인을 어떻게 생성되는지 확인해 보니, [그림 4]와 같이 무료 도메인 등록을 해주는 사이트를 통해서 실제 정상 사이트들과 비슷한 도메인을 생성 할 수 있는 것을 확인했습니다.
[그림 4] 정상 도메인을 이용하여 생성 가능한 무료 도메인 등록 화면
‘우한 폐렴’ 공포가 확산되고 있는 상황을 노린 이번 문자 메시지의 경우 피싱 메시지나 스미싱 메시지가 아닌 것이 확인되긴 했으나, 이러한 사회적 이슈와 관련된 피싱 메시지나 스미싱 메시지가 언제 등장할 지 모르기 때문에 메시지에 포함된 불분명한 링크 클릭에 주의하시고, 모바일 백신앱을 반드시 설치하시길 권고 드립니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| "중요사항 공지" 등으로 위장한 한국인 대상 스미싱 주의 (0) | 2020.02.03 |
|---|---|
| 사용자 데이터 탈취 협박 메일로 유포중인 Emotet 악성코드 주의! (0) | 2020.01.29 |
| 설연휴 택배사칭 스미싱 위협 등을 대비한 분석 및 대응 방법 (0) | 2020.01.25 |
| 견적 송장(PROFORMA INVOICE)을 위장한 피싱 메일 주의! (0) | 2020.01.22 |
| 특정 통신사업자를 사칭한 피싱 메일로 Emotet 악성코드 유포중! (0) | 2020.01.21 |
댓글 영역