기업 사용자를 대상으로 유포중인 스캔 파일 위장 피싱 메일 주의!

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

기업 사용자의 계정정보를 노린 피싱 메일이 유포되고 있어 기업사용자들의 각별한 주의가 필요합니다. 

이번에 발견된 피싱메일은 특이하게 자신의 메일 계정에서 발송된 피싱메일로, 자신이 자신에게 스캔파일을 보낸 것처럼 위장하여 사용자들의 클릭을 유도합니다. 

 

이는 실제로 복합기에서 스캔 후 이메일로 보내기를 하면, 스캔 파일이 이메일로 수신되는 것을 악용한 방식으로 추정됩니다. 

 

 

[그림 1] 스캔 파일을 위장한 피싱 메일

피싱 메일에는 '첨부된 문서를 열어주세요. Xerox 복합기를 사용하여 스캔하여 귀하에게 보냈습니다.'라는 문구와 함께 html 파일이 첨부되어 있습니다. 

사용자가 html 파일을 클릭하면 사용자 이메일이 입력되어 있는 로그인 창이 뜨며 사용자에게 비밀번호 입력을 유도합니다. 

 

 

[그림 2] 계정정보 입력유도 페이지

사용자가 비밀번호를 잘못 입력했을 경우를 대비하여, 첫번째 입력 시에는 비밀번호가 잘못되었다는 창을 띄운 후 재 입력을 유도합니다. 

 

 

[그림 3] 계정정보 재입력 유도창

 

사용자가 다시 비밀번호를 입력하면, 입력한 정보는 공격자의 서버로 전송되며 해당 이메일 수신자가 근무하는 회사의 공식 홈페이지로 리디렉션 됩니다. 

 

 

[그림 4] 전송되는 계정정보

 

 

[그림 5] 리디렉션 되는 회사 홈페이지

 

 

C&C정보

156.67.72.45
https://config4rd84ckevpc9o62rb1mciios6[.]online/authpoint/auth2/c.php

 

공격자의 이메일을 받은 사용자들은, 이미 자신의 계정정보가 노출된 것으로 유사한 공격을 받을 수 있으므로 각별한 주의가 필요합니다. 

 

기업사용자 여러분들께서는 의심스러운 이메일이 수신되면 바로 삭제해 주시고, 계정정보의 비밀번호를 주기적으로 변경해 주실 것을 권고 드립니다. 

 

현재 알약에서는 해당 피싱 메일에 대하여 Trojan.HTML.Phish로 탐지중에 있습니다.