견적요청으로 위장된 국내 포털 사이트 난독화 피싱 메일 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 견적 요청 관련으로 국내 유명 포털사이트 계정을 노리는 피싱 메일이 발견되어 사용자의 주의가 필요합니다.

이번에 발견된 메일은 “FW: 견적 요청 (REF # 19117030P)”라는 제목으로 수신되었으며 본문에는 아무런 내용이 없고 견적서로 위장된 HTML 파일만 첨부되어 있습니다.

 

포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면

 

사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 국내 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.

 

첨부 된 파일의 대한 정보는 다음과 같습니다.

첨부 파일명	알약 탐지명
Inquiry PR11020204168.xlsx.htm	Trojan.HTML.Phish

 

 

브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면

 

사용자가 피싱 페이지에 포털사이트 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 이후 실제 견적서처럼 보이는 파일을 외부 서버를 통해 사용자에게 보여줍니다.

 

사용자를 속이기 위해 연결된 견적서 파일 화면

 

이번에 발견된 피싱 메일에서는 보안 시스템의 탐지를 회피하기 위해 사용자가 입력 한 개인 정보 전달 서버 주소를 난독화하여 사용하였습니다.

 

난독화 된 개인 정보 전달 서버 복호화 화면

 

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

- 개인 정보 수집 사이트

hxxps://chinaminimart[.]info/ps-login.php

 

- 개인정보 전달 서버 IP

144.76.181.179

 

이번 피싱사이트에 사용된 IP 주소를 추가적으로 조사 한 결과 이전에 발견 된 유사 한 IP 주소를 확인하였습니다.

- 2020/10/27 hxxps://hongkmalls[.]info/naver-estimate.php (144.76.181.178)

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면