금융 관련 안내서로 위장한 피싱 메일 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 수신자 은행 계좌번호가 변경되었음을 알리는 허위 안내서로 사용자의 계정을 노리는 금융 피싱 메일이 발견되고 있어 사용자들의 주의가 필요합니다. 

[그림 1] 은행 계좌 번호 변경 제목으로 유포된 이메일 화면

해당 메일은 수신자 은행 계좌번호가 변경되었음을 알리는 안내서를 첨부 파일로 추가했습니다. 

만약 사용자가 해당 첨부 파일을 다운로드하여 압축 해제하고 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있습니다.

[그림 2] 첨부파일 내부 화면

해당 계정 피싱 메일을 받은 사용자가 은행 계좌번호 변경 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행하면 국내 포털 사이트를 가장한 로그인 화면으로 이동됩니다.

[그림 3] 첨부 파일 실행 시 이동되는 가짜 국내 포털사이트 로그인 화면

이번에 발견된 피싱 사이트 분석 결과, 이전에 분석했던 내용과 동일한 C&C 서버를 사용하는 것으로 확인되었습니다. 관련 리포트는 아래와 같습니다. 

▶ T/T 송금 관련으로 위장한 국내 포털 피싱 메일 주의!! 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있으며, 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중입니다.

[그림 4] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면