포스팅 내용

악성코드 분석 리포트

정상 사이트를 미끼로 계정 탈취를 시도하는 피싱 메일 주의!!



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 특정 도메인을 사용하여 사내 계정을 대상으로 한 피싱 공격들이 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 이번에 발견된 메일은 “✉ Your *******@*******.com mailbox usage is 85% full”이라는 제목으로 관리자 계정을 타깃하여 발송되었습니다. 


메일에는 사용자의 이메일 스토리지 용량이 부족하다고 경고하며, 계속 해당 이메일을 사용하려면 로그인하여 스토리지를 업그레이드하라고 본문의 URL을 클릭하도록 유도합니다.



[그림 1] 관리자 계정으로 전달된 피싱 공격 이메일



피싱 메일을 받은 사용자가 부족한 스토리지 용량을 늘리기 위해 본문에 기재된 링크를 클릭할 경우, 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동됩니다. 이때 메일을 수신한 사용자의 회사 도메인을 이용하여 피싱 제작자가 구축한 사이트를 로딩하는데, 사용자는 이 사이트를 보고 실제 회사 관련 경고 메일로 착각할 수 있습니다.



[그림 2] 피싱 사이트 화면



피싱 사이트 제작자는 피싱 타깃 계정의 사용자가 본문 링크를 클릭했을 경우, 도메인을 체크하고 사이트 뒷배경에 iframe 태그를 이용하여 정상적인 사이트 화면을 보여줍니다.



[그림 3] 피싱 사이트에 사용된 iframe 태그 화면



사용자가 접속한 피싱 사이트에 계정과 패스워드를 입력할 경우, 개인정보 수집 사이트로 입력된 개인정보가 전송됩니다. 공격자에게 전송된 개인정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.



[그림 4] 수집된 개인정보 내용



이외에도 현재 dns.cloud[.]net 도메인 서비스를 이용한 피싱 사이트들이 지속적으로 발견되고 있어 사용자들의 각별한 주의가 필요합니다.



현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 피싱사이트를 아래와 같이 탐지하고 있습니다.



[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면



티스토리 방명록 작성
name password homepage