'메일함 용량 초과' 경고로 위장한 피싱 메일 유포중!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 LINE WORKS '메일함 용량 초과' 경고로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

[그림 1] '메일함 용량 초과' 경고로 위장한 피싱 메일

발견된 공격은 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해, 첨부된 악성 링크를 클릭하도록 유도하는 전형적인 ‘스피어 피싱’ 방식입니다. 

기존 이메일 스피어 피싱 공격에는 압축 파일이나 마이크로소프트(MS) 워드(WORD) 문서 형태의 악성 파일이 첨부되는 방식이 일반적이지만, 이번에 발견된 이메일 내부에는 별도의 파일이 첨부되지 않았으며 이미지 외 텍스트로 작성된 내용도 포함되지 않았습니다. 

'웹 메일 알림'이라는 제목으로 전송된 이메일 본문에 삽입되어 있는 이미지 상단에는 '[주의] 메일함 용량이 초과되었습니다.'라는 경고 문구와 함께 사용자들에게 메일함 용량 초과로 인해 메일의 수신 및 발송 메시지 저장이 어려울 수 있음을 경고하고 있습니다. 

사용자가 메일함을 비우기 위해 'MYBOX 용량 가져오기' 또는 '메일함 정리하기' 버튼을 클릭하면, 아래 그림과 같이 LINE WORKS 로그인 페이지로 리디렉션됩니다. 

[그림 2] 사용자 로그인 정보 입력을 요구하는 페이지

사용자가 해당 페이지에 입력한 MYWORK 로그인 정보는 아래 공격자 서버로 전달됩니다. 

개인정보 피싱 및 수집 사이트 상세 정보

- 개인정보 수집 사이트

http://thermalrex[.]com/wp-includes/js/tinymce/plugins/wpeditimage/page/lele.php

- 개인정보 전달 서버 IP

93.93.69.176

사용자들은 탈취된 개인정보 도용으로 인한 피해를 예방하기 위해 출처가 불분명한 이메일 수신시 메일에 포함된 링크 또는 파일을 클릭하지 않도록 각별히 주의해야 합니다. 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림 3] ESTsecurity-Threat Inside 개인정보 수집 사이트 탐지 화면