상세 컨텐츠

본문 제목

국내 연구기관(re.kr)을 타겟으로 한 피싱 메일 유포 주의!!

악성코드 분석 리포트

by 알약1 2021. 4. 28. 15:38

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 국내 연구기관(re.kr)의 사용자 계정을 타겟으로 한 피싱 공격이 지속적으로 발견되어 사용자들의 주의가 필요합니다.

 

이번에 발견된 메일은 "xxxxx.re.kr Warning : eMailBox Account Block Request !", "Warning!! Password Reset: 아이디@xxxx.re.kr" 라는 제목을 사용하며, 2개의 메일 모두 계정에 문제가 생긴 것처럼 경고성 내용을 가지고 있어 사용자가 본문 내의 링크를 클릭하도록 유도하고 있습니다.

 

[그림1] 연구기관 계정 탈취를 위한 피싱 공격 메일 (1)

 

[그림2] 연구기관 계정 탈취를 위한 피싱 공격 메일 (2)

 

사용자가 메일 본문에 기재된  "CANCLE REQUEST HERE", "Keep Same Password" 링크를 클릭할 경우 계정과 패스워드를 가로채기 위한 피싱 사이트로 이동합니다.

 

[그림3] 연구기관 계정 탈취 피싱 사이트 화면 (1)

 

[그림4] 연구기관 계정 탈취 피싱 사이트 화면 (2)

 

피싱 사이트 제작자는 메일을 발신한 계정의 사용자가 본문 링크를 클릭했을 경우, 수신자 도메인을 체크하여 사이트 뒷배경에 iframe 태그를 이용하여 정상적인 사이트 화면을 보여줌으로써 실제 회사 관련 메일로 착각할 수 있습니다.

 

[그림5] 피싱 사이트에 사용된 iframe 태그 화면

 

피싱 사이트에 입력한 사용자의 계정 / 패스워드는 기본적으로 수집하고, 접속한 사용자에 대한 Whois 정보(IP주소, 국가정보, 도시 등)도 수집하는 경우도 있습니다.

 

- 개인정보 피싱 및 수집 사이트
hxxps://chunliuzo.s3.eu-central-1.amazonaws[.]com/index.html
hxxps://epic-chizzzi.netlify[.]app


-
개인정보 피싱 서버 IP
178.128.104.229

 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 피싱 사이트를 아래와 같이 탐지하고 있습니다.

 

[그림6] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

 

관련글 더보기

댓글 영역