상세 컨텐츠

본문 제목

카카오 보호조치를 위장하여 유포중인 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 10. 15. 11:00

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
'보호조치 안내'이라는 제목의 피싱 메일이 유포되고있어 사용자들의 주의가 필요합니다.

해당 피싱메일은 카카오를 사칭하고 있으며 내용은 다음과 같습니다. 

 

안녕하세요, 카카오 입니다. 
회원님의 카카오계정이 비정상적인 환경에서 로그인 시도가 감지되어 보호조치 될 예정입니다. 

- 기기 : windows 10 / Chrome
- 앱 / 서비스 : logins.kakao.com
- IP : 118.112.16.156

본인이 직접 로그인을 시도한게 아닌데 이 메일을 받았다면 카카오 고객센터(링크포함)를 클릭하시고 상담원의 안내에 따라 계정을 보호해주시기 바랍니다. 
감사합니다. 


고객센터 단어에는 악성 링크가 포함되어 있으며, 클릭 시 피싱 사이트로 넘어가게 됩니다.

피싱사이트는 홈페이지 무료 제작 사이트인 Wix를 통해 제작되었으며, 완성도가 미흡한것으로 보아 현재 제작중인 것으로 추정됩니다. 

 

 

 

[그림 1] 카카오를 사칭한 피싱 사이트

 

사용자가 상담원 연결란에 이름, 전화번호, 이메일, 카카오계정 비밀번호를 입력 후 인증 전화받기를 누르면 "ARS 인증번호를 안내해드리는 채팅방입니다. 인증 전화받기를 클릭하셨다면, 곧 인증번호가 발급되오니 채팅방에서 나가지마시고 기다려주세요."라는 안내가 뜨며 사용자 정보는 json형태로 공격자 서버로 전송됩니다. 

 

[그림 2] 전송되는 사용자 정보

 

 

[그림 3] 개인정보 입력 후 나타나는 안내문구

 

안내 문구로 추정해보자면, 사용자가 입력한 개인정보들을 기반으로 카카오톡 계정 비밀번호를 공격자들이 임의로 변경한 후, 사용자에게 인증번호를 요구하는 형식으로 공격이 진행되며, 만약 공격자들이 요구한대로 인증번호를 알려주면 사용자의 카카오톡 계정이 통채로 공격자들에게 탈취될 것으로 추측됩니다.

 

공격자들은 이렇게 탈취한 계정정보를 이용하여 추가적인 악성 행위를 할 수 있습니다. 

 

C&C정보

hxxps://wf0901.wixsite.com/_api/wix-forms/v1/submit-form

 

이메일의 내용을 보자면, 얼마 전 카카오톡 고객센터를 위장하여 유포되었던 피싱 메일과 동일합니다. 해당 피싱메일과 관련하여 이미 알약 블로그에 포스팅 한 적이 있습니다. 

 

[그림 4] 이전에 유포되었던 피싱 메일


이메일 내용의 문구와 공격형태로 추정해보자면 동일한 공격자의 소행으로 추측됩니다.

 

공격자는 현재 피싱 페이지를 제작중이며, 피싱페이지가 완벽히 제작되었을 경우 대량으로 유포되어 사용자들의 피해가 예상됩니다. 

 

사용자 여러분들께서는 출처 불분명한 사용자에게서 온 이메일의 클릭을 지양해 주시기를 바라며, 어떠한 경우에서도 계정 비밀번호의 입력을 요구하는 곳은 없다는 점 반드시 참고해 주시기 바랍니다. 

 

 

 

관련글 더보기

댓글 영역