상세 컨텐츠

본문 제목

네이버 스마트스토어를 위장한 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 8. 31. 15:14

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
첨부파일이 포함된 네이버 스마트스토어를 위장한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 

이번에 발견된 이메일은 '***(수신자 이름) 당신에게 메세지를 보냈습니다'라는 제목으로 유포되고 있습니다.

 

 

[그림 1] 네이버 스마트스토어를 위장한 피싱 메일

 


이번에 발견된 이메일은, 기존의 네이버 피싱들과는 다르게 pdf를 위장한 첨부파일을 포함하고 있습니다. 

사용자가 첨부되어 있는 pdf 파일을 열면, 보안문서라는 문구와 함께 이메일 인증을 요구합니다. 

 

 

[그림 2] 첨부되어 있는 PDF 파일



사용자가 pdf 파일 내 로그인을 클릭하면 피싱 사이트는 사용자 PC를 식별하여 고유의 파라미터값을 추가하여 네이버 로그인 페이지를 위장한 피싱 사이트로  리디렉션 됩니다. 

 

 

[그림3] 네이버 로그인 페이지를 위장한 피싱 사이트



사용자가 계정정보를 입력하면 입력한 계정정보는 공격자 서버로 전송된 후 실제 네이버 로그인 페이지로 리디렉션 됩니다. 

 

단, 계정정보를 입력할 때 아이디만 입력하는 것이 아니라 이메일 전체 주소를 요구합니다.

 

 

[그림 4] 해커의 서버로 전송되는 계정정보

 

- 피싱 사이트

hxxps://purchaseorder.docuget[.]one/
hxxps://purchaseorder.docuget[.]one/08fdafc9044aba4786c56f056535f280/index.php?파라미터값

198.54.115.118

 

 

이번에 발견된 이메일은 디자인 부분으로나 공격 방식이 다른 네이버 피싱 메일들과 비교하여 많이 미흡하여 사용자들이 피싱 메일이라는 것을 쉽게 인지할 수 있을 것으로 추측됩니다. 

 

하지만 최근 네이버를 위장한 피싱 메일이 증가하고 있으며, 매우 정교하게 제작되었기 때문에 사용자들의 각별한 주의가 요구됩니다. 

 

 

 

 

이러한 피싱 메일의 경우 계정정보 탈취를 목적으로 하고 있으며, 유출된 계정정보를 이용한 2차 피해가 발생할 수 있어 주의가 필요합니다. 

안전한 계정보호를 위해서 사용하는 웹사이트의  2단계 인증을 활성화 하시고, 각 웹사이트 마다 다른 비밀번호를 사용하시는 것을 권장드립니다. 

현재 알약에서는 해당 피싱 메일 내 PDF파일에 대해 Trojan.PDF.Phish로 탐지중에 있습니다. 

 

 

관련글 더보기

댓글 영역