PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 주의!!

안녕하세요, ESRC(이스트시큐리티 대응센터)입니다.

최근 PDF 첨부파일을 이용한 국내 대형 포털 사이트 피싱 공격이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 PDF 첨부파일은 “NAVER.pdf” 파일명을 사용하고 있으며, 파일을 실행하면 아래와 같이 계정 업그레이드 문제로 사용자들이 링크를 클릭할 수 있도록 유도하고 있습니다.

[그림 1] 국내 포털 사이트 PDF 파일 실행 화면

PDF 파일을 실행 한 사용자가 계정 업그레이드 문제를 해결하기 위해 본문에 기재된 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동하게 됩니다.

[그림 2] 이동 된 피싱 사이트 화면

접속된 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.

[그림 3] 수집 된 개인정보 내용

** 개인 정보 피싱 및 수집 사이트 상세 정보

- 개인정보 피싱 및 수집 사이트

hxxps://nav92.webnode[.]com/contact/

- 개인정보 전달 서버 IP

178[.]238.47.22

PDF 파일을 Adobe Acrobat Reader 프로그램을 사용하여 실행할 경우, 클릭 된 링크로 이동하기 전 아래와 같이 도메인 정보를 보여주기 때문에 사용자는 이러한 정보를 놓치지 말고 내가 이동할 사이트명이 맞는지 항상 주의 깊게 봐야 합니다.

[그림 4] Adobe Acrobat Reader 프로그램 사용 시 도메인 연결 시도 화면

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 피싱사이트를 아래와 같이 탐지하고 있으며, 알약에서는 해당 악성 샘플에 대해 Trojan.PDF.Phish으로 탐지 중입니다.

[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면