상세 컨텐츠

본문 제목

견적의뢰를 위장하여 유포중인 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 10. 18. 15:19

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
공사 및 대기업 건설사를 대상으로 견적 의뢰를 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

 

이번에 유포된 피싱 메일은 "*** 견적의뢰의 건"이라는 제목으로 유포되었습니다.

 

 

[그림 1] 견적서를 위장한 피싱 메일

 

 

해당 피싱메일은 견적 요청드리며 빠른 견적회신 부탁드린다는 내용과 함께 html 파일이 대용량 파일로 첨부되어 있습니다. 

 

사용자가 대용량 파일로 첨부되어 있는 파일을 내려받아 실행하면 엑셀파일을 위장한 다음과 같은 창이 뜨며 사용자에게 계정정보 입력을 유도합니다.

 

 

[그림 2] 사용자 계정정보 입력을 유도하는 악성 html 파일

 

 

사용자가 만약 계정정보를 입력한다면, 잘못 입력했다는 경고창과 함께 다시 한번 계정정보 입력을 유도합니다. 

 

 

[그림 3] 사용자 계정정보 재입력을 유도하는 악성 html 파일

 

 

만약 사용자가 또 한번의 계정정보를 입력하면, 입력한 계정정보는 공격자의 서버로 전송됨과 동시에 사용자가 입력한 이메일 주소 @ 이하의 도메인 주소로 넘어가게 됩니다. 

 

 

[그림 4] 공격자 서버로 전송되는 계정정보

 

[그림 5] 계정정보 입력 후 리디렉션 되는 페이지

 

 

C&C정보

hxxps://www[.]kenkosac.com/fr/next/php
198.100.158.112

 

 

이번 메일은 공사 및 대기업 건설사를 대상으로 유포된 것으로 보아, 임직원들의 계정정보 수집을 시도중인 것으로 추측됩니다. 

 

사회공학적 기법을 통한 정보탈취는 공격자들이 공격을 진행하기 전 정보수집 단계에서 많이 사용하는 방법이며, 이렇게 수집한 정보들을 기반으로 추가 공격을 진행할 수 있기 때문에 사용자들의 각별한 주의가 요구됩니다.  또한 기업의 보안담당자들 역시 주기적인 보안교육을 통하여 임직원들의 보안의식을 향상시켜야 하겠습니다. 

 

현재 알약에서는 해당 파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다.

 

 

 

관련글 더보기

댓글 영역