상세 컨텐츠

본문 제목

근로계약서를 사칭하여 유포중인 피싱메일 주의!

악성코드 분석 리포트

by 알약4 2022. 1. 26. 17:22

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
근로계약서를 사칭한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

 

이번 피싱 메일은 '[***] '2022 근로계약서_***' 서류심사 및 준비서류 요청'이라는 제목으로 유포되었습니다. 

 

 

[그림 1] 근로계약서를 위장한 피싱 메일

 

 

피싱 메일에는 검토할 문서가 있다는 내용과 함께 [문서 검토]라는 버튼이 있습니다. 만일 사용자가 해당 버튼을 누르면 피싱 페이지로 넘어가게 됩니다. 

 

 

[그림 2] pdf 파일을 위장한 피싱 페이지

 

 

피싱 페이지는 암호화 된 pdf 파일을 위장하고 있으며, 다운로드 링크를 클릭하면 사용자 이메일의 비밀번호를 입력하라고 유도합니다. 

 

만일 사용자가 password 란에 비밀번호를 입력하면, 로딩 아이콘이 뜨며 마치 오류가 난 것처럼 아무런 반응이 없습니다. 

[그림 3] 무한로딩을 위장하여 사용자의 종료를 유도

 

 

하지만 실제로는 백그라운드에서 사용자가 입력한 계정정보가 공격자의 서버로 전송합니다.

 

 

[그림 4] 공격자 서버로 전송되는 계정정보

 

 

이는 사용자가 아무런 반응을 하지 않는다고 오인하여 창을 닫도록 유도하며, 계정정보가 유출되었다는 사실을 인지하지 못하도록 하는 것으로 추정됩니다.

 

많은 사람들이 아이디나 비밀번호를 모든 서비스에서 동일하게 사용하는 경향이 있기 때문에, 계정정보가 유출되면 2차 피해를 입기 쉽습니다. 

 

사용자 여러분들께서는 의심스러운 이메일의 클릭을 지양하시고, 발신자 주소 및 웹페이지의 url을 확인하시는 습관을 길러야 하겠습니다. 

 

IoC

hxxp://asakura-care[.]jp/elements/multiphp.html
hxxp://asakura-care[.]jp/elements/icon.php

 

 

 

관련글 더보기

댓글 영역