상세 컨텐츠

본문 제목

수입통관정보를 위장한 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 8. 24. 11:31

본문

 


안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.


이번에 발견된 피싱 메일은 해외 직구족들을 타깃으로 하고 있으며, 수입통관정보를 위장하여 계정 정보를 탈취하여 사용자들의 주의가 필요합니다.

해당 이메일은 'RE: [EXTERNAL] Re: [FedEx] AWB# 397911942611 / 397911943169' 제목으로 유포 중이며, 이메일에는 수입통관정보 제출안내라는 내용과 함께 html 파일이 포함되어 있습니다. 

 

 

[그림 1] 수입통관정보를 위장한 악성 메일

 


사용자가 첨부파일을 클릭하면 다음과 같이 엑셀 화면과 함께 계정 정보를 입력하라는 창이 뜹니다. 

 

 

[그림 2] 계정 정보 입력을 유도하는 팝업창

 

 

만약 사용자가 계정 정보를 입력하고 [View Document]를 누르면, 다음과 같이 캡챠 인증 단계가 나타납니다.

 

 

[그림 3]  캡챠 인증 페이지

 


만약 사용자가 캡챠 인증을 완료하면 사용자가 입력한 정보가 해커에게 넘어가는 동시에 실제 DHL 페이지로 리디렉션 됩니다. 

 

 

[그림 4] 전송되는 계정 정보

 

C&C 서버 정보

35.201.118.58
hxxps://submit.jotform.com/submit/212197981410052/

 

 

[그림 5] 리디렉션 되는 실제 DHL 페이지

 


FedEx에서 온 이메일이 DHL 페이지로 넘어가기 때문에, 이 단계까지 넘어오면 사용자는 이상하다는 생각을 할 수 있습니다. 하지만 이미 입력한 정보는 공격자에게 넘어간 상황입니다. 

만약 이러한 피싱 메일에 계정 정보를 입력했다면, 바로 입력한 계정 정보의 비밀번호를 변경해야 합니다. 뿐만 아니라 해당 계정과 동일한 비밀번호를 사용하는 계정들의 비밀번호를 모두 변경하시기를 권고드립니다. 

해외 직구의 경우, 문제 발생 시 개인통관고유번호를 요구하는 경우는 있으나 개인정보를 요구하는 경우는 없기 때문에 사용자 여러분들은 이 점을 유의하시고 이러한 피싱 메일에 속지 않도록 주의해 주시기 바랍니다. 

 

현재 알약에서는 해당 피싱 메일에 대해 Trojan.HTML.Phish로 탐지 중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역