발주서 파일로 위장한 “NAVER WORKS” 피싱메일 주의!!

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 발주서 파일로 위장하여 “NAVER WORKS(네이버 웍스)” 계정 탈취를 목적으로 발송되는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다.

이번에 발견된 메일은 “[플***] - (발주서 송부의 건)”라는 제목으로 수신되었으며, 특정 업체명을 도용해 실제 기업에서 발송한 것처럼 위장했습니다. 

 

사용자가 메일에 포함된 첨부파일을 실행하면 사용자 정보를 탈취하는 전형적인 “스피어 피싱” 방식입니다.

 

[그림1] “NAVER WORKS” 계정탈취를 위한 피싱 공격 이메일 화면

 

사용자가 발주서 내용 확인을 위해 첨부된 파일을 다운로드하여 실행할 경우, 브라우저를 통해 “NAVER WORKS” 계정과 패스워드를 가로채기 위한 피싱 페이지로 연결됩니다.

 

첨부된 파일의 대한 정보는 다음과 같습니다.

첨부 파일명	알약 탐지명
[플***] - (발주서 송부의 건).html	Trojan.HTML.Phish

 

 

[그림2] 브라우저로 동작 된 피싱 페이지 화면

 

이메일을 통해 유포된 피싱 사이트의 이전 유형들의 경우, 첨부파일 실행 시 나타나는 피싱 사이트에 사용자가 정보를 입력하면 개인정보 수집 사이트로 바로 이동하는 방식이 대다수였습니다.

 

그러나 이번에 발견된 피싱 사이트는 사용자가 로그인을 위해 이메일을 등록하면 계정과 패스워드 정보 입력을 위한 실제 피싱 사이트로 사용자를 이동시키는 방식으로 두 단계에 걸쳐 진행됩니다. 

 

[그림3] 웹을 통해 연결 된 피싱 사이트 화면

 

사용자가 입력한 NAVER WORKS 로그인 정보는 아래 공격자 서버로 전달됩니다.

- 개인 정보 수집 사이트

hxxps://lukesbeautysalon[.]com/style/design/pkan/login.php

 

- 개인정보 전달 서버 IP

86.104.15.60

 

개인정보가 전달된 후에는 실제 "NAVER WORKS 로그인" 페이지로 리디렉션됩니다.

[그림4] 사용자 정보 수집 후 보여지는 NAVER WORKS 정상 로그인 사이트 화면

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

[그림5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면