페덱스 사후납부통관 세금 안내를 위장한 피싱 메일 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
최근 페덱스 사후납부통관 세금 안내를 위장한 피싱 메일이 유포중에 있어 사용자들의 주의가 필요합니다. 

해당 이메일은 '[페덱스] 수입세금 납부마감 안내'라는 제목으로 사용자들의 클릭을 유도합니다. 

다음과 같은 본문과 함께 html 파일이 첨부되어 있습니다. 

 

 

안녕하세요. 
사후납부통관 세금 안내입니다. 

페덱스코리아는 고객님의 편의를 위하여 납부하실 세액이 당사에서 정한 범위 안에 있을 경우 세금납부 전에 먼저 물품을 배송해 드리는 납세 전 배송서비스(사후납부통관)를 제공하고 있습니다. 
고객님께서는 첨부된 파일을 참조하시어 명시된 기한 내에 세금을 납부하여 주시기 바랍니다. 

기타 자세한 내용은 첨부된 안내문을 참조해 주시기 바랍니다. 

감사합니다. 

사용자가 첨부된 html 파일을 실행하면 피싱 페이지고 연결되며 사용자 계정 탈취를 시도합니다. 

 

 

[그림 1] 첨부되어 있는 html 파일 실행 화면

 

[그림 2] 공격자 서버로 전송되는 계정정보

 

 

페이지 제목에 보면 중국어로 '跟踪您的货件或包裹(당신의 소포를 추적하세요)'라고 적혀있어 자세히 보면 피싱 페이지인 것을 인지할 수 있습니다. 

 

최근 실제 이메일처럼 정교하게 작성된 내용과 함께 html 파일이 첨부되어 있는 형태의 피싱 메일이 증가하고 있으며, 주로 계정정보 탈취를 목적으로 하고 있습니다. 

 

사용자 여러분들께서는 이메일에 첨부되어 있는 html 파일의 실행을 지양해 주시기 바라며, 주기적인 비밀번호 변경과 2단계 인증 설정을 통하여 계정정보를 안전하게 보호하시기 바랍니다. 

 

현재 알약에서는 해당 악성파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다. 

 

 

IoC

hxxps://s-ztraders[.]com//7/fdx.php