포스팅 내용

악성코드 분석 리포트

"싱가폴한인교회유치원"을 사칭한 발주서 피싱메일 주의!!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 싱가폴 한인 교회 유치원에서 허위로 발주 된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다.



[그림1] 구매발주 제목으로 유포 된 이메일 화면



해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했습니다.


해당 메일에는 'T T00 구매 주문 -009111.zip', 'T T4.5 구매 주문 -009111.zip'라는 ZIP 파일이 첨부되어 있다. 사용자가 해당 첨부파일을 다운로드하여 압축 해제 후, 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있다.



[그림2] 첨부파일 내부 화면


해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행할 경우, 공격자가 만들어 둔 가짜 국내 포털사이트 로그인 화면으로 이동한다.



[그림3] 국내 포털사이트 로그인 화면을 사칭한 개인정보 수집 사이트



피싱 타깃이 된 사용자가 해당 페이지에 로그인 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.


현재 개인 정보 수집 사이트가 차단됨에 따라 전달되는 정보는 알 수 없지만, 내부 코드를 살펴보면 다음과 같은 사이트로 개인 정보를 전달하는 것을 알 수 있습니다.


[그림4] 수집 된 개인정보 내용



개인 정보 수집 사이트 상세 정보

 


개인 정보 수집 사이트는 이전에 분석했던 내용과 동일한 서버를 사용하는 것으로 확인되었습니다.



현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.



 [그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면



또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage