포스팅 내용

악성코드 분석 리포트

캡차인증를 이용하는 피싱 메일 주의!!



안녕하세요? 

이스트시큐리티 ESRC(시큐리티대응센터)입니다.


최근 사용자가 사람인지 기계인지 구분해 주는 캡차(CAPTCHA) 인증 기술을 이용한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 


이번에 발견된 피싱메일은 “New VM (28 seconds) processed on July 21, 2020, 2:40:09 PM”라는 제목으로 전파되었으며 새로운 음성 메시지로 보이는 “AudioMessage.htm” 파일이 첨부되어 수신자의 파일 실행을 유도하고 있습니다.



[그림 1] 새로운 음성 메시지를 가장한 피싱 메일 화면



피싱 메일에 첨부된 파일(htm)을 실행 시 계정과 비밀번호를 가로채기 위한 피싱 사이트로 리디렉션되는 것이 아닌 사용자를 안심시키기 위한 캡차 인증 화면으로 이동하게 됩니다.



[그림 2] 캡차 인증으로 이동된 사이트 화면



사용자는 이러한 인증 절차를 거치면 해당 사이트를 안전한 페이지로 생각할 수 있습니다. 인증 절차가 완료되면 계정과 비밀번호를 가로채기 위한 피싱 사이트로 이동합니다.



[그림 3] 피싱 사이트 화면



피싱 사이트에 계정과 비밀번호를 입력할 경우 개인정보 수집 사이트로 입력된 개인정보가 전송되며 상세한 IoC는 ‘쓰렛 인사이드(Threat Inside)’에서 확인하실 수 있습니다.


개인정보 수집이 끝나면 유효성 검사가 완료되어 음성 메시지로 이동한다는 메시지가 담긴 화면이 보이며 잠시 후 음성 메시지 파일이 업로드된 페이지로 이동합니다.



[그림 4] 개인정보 수집 후 이동된 사이트 화면



[그림 5] 음성 메시지가 업로드된 사이트 화면



피싱 사이트 제작자는 수신된 사용자들이 첨부된 파일이나 본문에 기재된 링크들을 클릭하도록 지능적으로 변화하고 있습니다. 


이번 피싱 메일에서는 캡차 인증 방식을 추가하여 사용자로 하여금 사이트에 대한 신뢰도를 높일 수 있기 때문에 항상 의심되는 메일은 임의로 열어보지 말고 개인정보를 입력할 때에는 사이트 주소가 정상적인지 확인하는 습관을 길러야 합니다. 


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.


 

[그림 6] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면



  1. hi098123 2020.07.27 18:32 신고  수정/삭제  댓글쓰기

    구독해서 좋은글 많이 읽고있습니다

    티스토리 서비스의 계정탈취 보안취약점 제보글을 작성해봤습니다.
    https://hi098123.tistory.com/305 (이 글 본문 활용을 허용합니다.)
    최근 해결 완료된 문제입니다.

    • 알약(Alyac) 2020.07.28 15:19 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다.
      댓글 감사드리며, 앞으로도 많은 이용 부탁드립니다.

티스토리 방명록 작성
name password homepage