모스(Morse)코드를 이용한 난독화 피싱 공격 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 발견된 표적형 피싱 메일에서 모스(Morse) 코드를 이용한 난독화 피싱 메일이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 메일은 “ideafimit Revenue_payment_invoice February_Wednesday 02032021”라는 제목으로 수신되었으며, Excel 형태의 견적서처럼 보이는 방식으로 이름이 생성된 HTML 파일이 첨부되어 있습니다.

 

사용자 계정 탈취를 위한 피싱 공격 이메일 화면

 

사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 수신자의 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저를 통해 연결됩니다.

 

첨부된 파일의 대한 정보는 다음과 같습니다.

첨부 파일명	알약 탐지명
ideafimit_invoice_1308._xslx.htm	Trojan.HTML.Phish

 

브라우저로 동작 된 피싱 페이지 화면

 

사용자가 피싱 페이지에 계정과 패스워드 정보를 입력할 경우 모두 개인 정보 수집 사이트로 전송되며, 이후 패스워드가 틀린 것처럼 보이는 페이지를 사용자에게 보여줍니다.

 

입력된 패스워드가 틀렸다고 보여주는 허위 페이지

 

이번에 제작된 피싱 페이지는 이전과 마찬가지로 보안 시스템의 탐지를 회피하기 위해 사용자가 입력 한 정보들이 전달하는 서버 주소를 모스(Morse) 코드를 이용하여 난독화하였습니다.

 

모스(Morse)코드를 이용한 난독화 화면

 

모스(Morse) 코드로 난독화된 스크립들은 특정 함수를 통해 모스코드 문자열들이 16진수로 디코딩되며, 최종 디코딩된 스크립트 코드는 아래와 같습니다.

< script type="text/javascript" src="hxxp://coollab[.]jp/dir/root/p/434.js">
< script type="text/javascript" src="hxxp://coollab[.]jp/dir/root/p/09908.js">

 

추가로 연결된 js 파일들에는 css 정보와 피싱 사이트에 필요한 구성요소들이 담겨 있습니다.

특히 09908.js 파일에는 사용자가 입력 한 개인 정보를 전송하는 서버의 주소가 숨겨져 있습니다.

 

난독화 된 개인정보 전달 서버 복호화 화면

 

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

- 개인 정보 수집 사이트

hxxp://www.tanikawashuntaro[.]com//cgi-bin/root-6544323232000/0453000.php?90989897-45453

 

- 개인정보 전달 서버 IP

202.218.32.184

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면