사업자등록증을 이용한 지능형 국내 포탈 사이트 피싱 메일 주의!!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 한 부품 수출 기업을 사칭하여 국내 유명 포털사이트 계정을 노리는 피싱 메일이 유포되고 있어 사용자의 주의가 필요합니다.

이번에 발견된 메일은 “PRD Tech 견적”이라는 제목으로 수신되었으며 사업자 등록증 첨부 파일 확인 후 견적 요청을 보내달라는 내용으로 사용자 클릭을 유도하여 사용자의 포털 사이트 계정을 탈취하기 위한 목적으로 발송되었습니다.

[그림 1] 포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면

첨부 파일에는 '사업자등록증.pdf', '견적 ROQ-283631.PDF.htm', '견적 ROQ-283631.zip'과 같은 파일명이 사용되었고, zip 파일 내 포함되어 있는 'Dongwoo Estimate.htm' 파일은 '견적 ROQ-283631.PDF.htm'과 동일 파일인 것으로 확인됩니다. 사용자가 첨부된 파일을 다운로드 해 실행하면, [그림 3]과 같이 포털 사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다. 

[그림 2] Zip 압축 파일 내 포함된 파일과 동일한 첨부파일

[그림 3] 브라우저로 동작된 국내 포털 사이트 피싱 페이지 화면

특히, 아래 그림과 같이 첨부 파일에 실제와 흡사한 형태의 사업자 등록증이 포함되어 있어서 사용자 신뢰도를 높여주고 있습니다.

[그림 4] 피싱 메일에 첨부된 가짜 사업자등록증

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

* 개인정보 피싱 및 수집 사이트 상세 정보

- 개인정보 수집 사이트

https://hongkmalls[.]info/estimate-pd[.]php

- 개인정보 전달 서버 IP

169.255.59.11

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

현재 백신 프로그램 알약(ALYac)에서는 이번 공격에 사용된 악성 파일을 탐지명 'Trojan.HTML.Phish'로 차단 및 치료하고 있습니다. 악성코드에 대한 상세분석 내용 및 IoC 정보는 Threat Inside에서 확인하실 수 있습니다.