상세 컨텐츠

본문 제목

넷플릭스(Netflix)를 위장하여 유포중인 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 10. 8. 14:22

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.
넷플릭스 오징어게임이 전 세계적으로 흥행하면서 기존에 넷플릭스(Netflix)를 구독하지 않던 사용자들도 많이 가입했을 것으로 예상됩니다.

최근 미국의 온라인 동영상 스트리밍 서비스인 넷플릭스(Netflix)를 위장한 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 피싱 메일은 html 파일이 첨부된 형태로 유포되고 있는 것으로 추정됩니다. 


html 파일에는 현재 결제정보를 업데이트 하라는 내용으로 사용자로 하여금 Update Payment 버튼을 클릭하도록 유도합니다. 


[그림 1] 악성 html 파일


사용자가 Update Payment 버튼을 클릭하면 피싱 페이지로 넘어가게 됩니다. 

 

피싱 페이지는 실제 넷플릭스(Netflix) 페이지와 유사하게 제작되었으며, 사용자에게 로그인을 유도합니다. 

 

 

[그림 2] Netflix를 위장한 피싱 페이지

 

 

만약 사용자가 실제 넷플릭스(Netflix)로 오인하여 계정정보를 입력한다면, 입력한 계정정보는 공격자의 서버로 전송되며 추가로 프로필을 업데이트 하라며 결제정보를 입력하도록 유도합니다. 

 

 

[그림 3] 결제정보 입력 피싱 페이지

 

 

여기에서는 휴대폰번호, 카드번호 및 CVV번호(보안코드) 등 민감한 정보들을 요구하며, 만일 사용자가 실제 결제정보를 입력한다면 입력한 정보가 공격자 서버로 전송되어 사용자 모르게 무단 결제가 될 가능성이 있습니다. 

 

C&C서버 정보

119.18.54.24

hxxps://asquaredesigns.com/ne/update.php

hxxps://asquaredesigns.com/ne/config1.php

 

 

사용자 여러분들께서는 의심스러운 이메일은 바로 삭제해 주시고, 계정정보나 결제정보 등의 민감한 정보들을 요구하는 페이지가 있다면 반드시 URL을 확인하시는 습관을 길러야 합니다. 

 

현재 알약에서는 해당 html 파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역