상세 컨텐츠

본문 제목

세무조사 공지를 위장하여 계정정보 탈취를 시도하는 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2022. 5. 23. 15:29

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

세무조사 공지를 위장하여 계정정보 탈취를 시도하는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다. 

 

'세무조사'는 공격자들이 자주 사용하는 키워드로, ESRC에서도 세무조사를 위장한 피싱 메일에 대해 포스팅을 작성한 적이 있습니다. 

 

▶ 국세청 세무조사통지서를 위장하여 유포중인 Lokibot 주의!

 

 

[그림 1] 세무조사를 위장한 피싱 메일

 

이번에 발견된 피싱 메일은 '5월 세무조사 공지'라는 제목으로 유포되었으며, html 파일이 대용량파일 형태로 파일이 첨부되어 있습니다. 만일 사용자가 해당 메일을 정상 메일로 오인하여 링크를 클릭하면 악성 html 파일이 사용자 PC로 다운로드 됩니다. 

 

 

[그림 2] 다운로드 된 악성 파일

 

 

사용자가 다운로드 된 html 파일을 실행하면, 실제 다음(Daum) 로그인 페이지와 유사하게 제작된 피싱 페이지가 나타나며 사용자의 로그인을 유도합니다.

 

 

[그림 3] 로그인 페이지를 위장한 피싱 페이지

 

 

만일 사용자가 피싱 페이지 로그인 창에 계정정보를 입력 후 로그인 버튼을 누르면, 사용자가 입력한 정보는 base64형태로 공격자에게 전송됩니다. 

 

 

[그림 4] 공격자에게 전송되는 계정정보

 

이렇게 유출된 계정정보는 스팸메일을 발송하거나, 향후 더 정교한 공격의 초석으로 사용될 수 있습니다. 

또한 여러 페이지에서 동일한 계정을 사용하고 있는 사용자라면, 한번의 공격으로 동일한 계정을 사용하는 모든 페이지의 계정을 탈취당한 것과 같은 피해를 입을 수 있습니다. 

 

그렇기 때문에 사용자 여러분들은 계정보안에 각별한 주의를 기울이셔야 합니다. 

 

출처가 불분명한 사용자에게서 수신된 이메일 내 첨부파일 및 링크의 클릭을 지양해 주시기 바라며, 주기적인 비밀번호 변경과 홈페이지 별 다른 비밀번호 설정을 통하여 혹시 모를 계정정보 유출에 대비하시기를 바랍니다. 

 

현재 알약에서는 해당 악성 파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다.

 

 

 

관련글 더보기

댓글 영역