포스팅 내용

악성코드 분석 리포트

T/T 송금 관련으로 위장한 국내 포털 피싱 메일 주의!!



최근 T/T 송금 관련으로 국내 포털 피싱 파일이 첨부되어 있는 이메일이 유포되고 있어 사용자들의 주의가 필요합니다.



T/T 결제란?

전신환송금(Telegraphic Transfer)으로 수입대금의 지급을 은행을 통해 전신 또는 텔렉스를 이용하여 송금하는 방식


출처 : 네이버 시사경제용어사전



[그림 1] T/T 송금 관련 제목으로 유포 된 이메일 화면



이번에 발견된 메일은 “RE: 휴먼플러스- pro forma invoice”,  "RE: T/T 송금 ~234327645#" 라는 제목으로 다수 전파되고 있으며, T/T 송금 관련 문서로 위장 된 첨부 파일이 포함되어 있습니다. 


첨부 된 파일들은 T/T 송금관련 문서로 위장된 파일들이며 파일명은 다르지만 안의 내부 코드는 매우 유사하게 작성 되었습니다.



[그림 2] 첨부 파일에 압축 되어 있는 문서 파일 리스트



사용자가 내용 확인을 위해 첨부 파일을 다운로드 받아 실행 하게 되면, 아래와 같이 국내 포탈 사이트의 로그인 화면으로 이동하게 됩니다.



[그림 3] 첨부 파일 실행 시 보여지는 국내 포털 사이트 로그인 화면



만약 사용자가 실제 로그인 계정과 패스워드를 입력 할 경우, 개인정보 수집 사이트로 사용자가 입력 된 개인 정보가 전송됩니다.


전송된 개인 정보 수집 도메인 정보 및 내용을 상세히 살펴보면 다음과 같습니다.



[그림 4] 수집 된 개인정보 내용



사용자 여러분들께서는 미상의 발신자로부터 온 메일의 경우 꼭 내용을 확인하시기 바라며, 조금이라도 의심이 들 경우 절대 첨부된 파일을 다운로드 하거나 본문에 첨부된 링크 클릭을 지양해 주시기 바랍니다. 


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면



또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage