상세 컨텐츠

본문 제목

가상화폐 거래소를 위장하여 카카오톡 계정정보를 노리는 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2022. 4. 15. 17:10

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
업비트를 사칭하여 카카오톡 계정정보 유출을 시도하는 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다. 

금일 발견된 이메일은 코인 거래소 업비트를 사칭하고 있으며, "귀하의 UPBIT 계정이 정지되었습니다."라는 제목으로 유포중에 있습니다. 

 

 

[그림 1] 업비트를 사칭한 피싱 메일

 


하지만 이메일 내용을 보면 번역기를 돌린 것 같은 어색한 한국어로 작성되어 있어 조금만 주의 깊게 살펴보면 피싱 메일임을 확인할 수 있습니다.

만일 사용자가 실제 업비트에서 발송된 이메일로 오인하여 [계속하려면 여기를 클릭하십시오] 버튼을 누르면 실제 업비트 로그인 페이지와 매우 유사하게 제작된 피싱 페이지로 넘어가며 카카오톡 로그인을 유도합니다. 

 

 

[그림 2] 실제 업비트 페이지와 유사하게 제작된 피싱 페이지

 

 

하지만, 해외 IP로 접근 시 실제 코빗 페이지로 리디렉션 됩니다. 

 

사용자가 카카오계정으로 로그인 버튼을 클릭하면 실제 페이지와 유사하게 제작된 로그인 피싱 페이지로 이동하며, 사용자가 계정정보를 입력하면 다음과 같이 오랜 시간동안 로딩중으로 뜹니다. 

 

 

[그림 3] 카카오톡 로그인을 유도하는 피싱 페이지

 

 

일정 시간이 지난 후 확인 완료메세지와 함께 카카오톡 메세지가 발송되었다는 안내가 뜨며 공격이 종료됩니다.

 

 

[그림 4] 계정정보 입력 후 뜨는 페이지

 

 

사용자가 입력한 아이디, 패스워드 정보는 현재 접속한 IP 정보와 함께 텍스트 형태로 공격자에게 전송됩니다.

 

 

[그림 5] 공격자에게 전송되는 사용자 정보

 

C&C정보

172.67[.]137.205

 

url

hxxps://aveiga[.]es/up.html

hxxps://up-bit.web[.]app/upbit

hxxps://up-bit.web[.]app/auth

 

 

최근 카카오톡에 다양한 서비스들이 연동되면서 단순 메신저가 아닌 하나의 인증서 역할을 하고 있습니다. 카카오톡 계정이 유출되면 유출된 사용자의 계정정보를 이용하여 주변 사람들에게 피싱 메세지를 유포하거나 해당 정보를 이용하여 추가 공격이 가능한 만큼 사용자의 각별한 주의가 필요합니다. 

 

 

 

관련글 더보기

댓글 영역