상세 컨텐츠

본문 제목

국내 사용자 대상으로 진행중인 LogoKit 피싱 공격 주의

악성코드 분석 리포트

by 알약4 2023. 1. 19. 13:26

본문



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
국내 기업, 기관들의 계정정보 탈취를 시도하는 피싱 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 

 

이번 공격은 기업 및 기관에 종사하는 불특정 다수에게 피싱메일을 전송하는 형태로 진행되었으며, 사용자의 계정정보 탈취를 목적으로 하고 있습니다. 이렇게 수집한 정보들을 활용하여 추가 공격을 진행할 것으로 예상됩니다. 

 

피싱 메일은 "사서함 중단 알림(조치필요)"라는 제목으로 유포되었습니다.  

 

본문은 조잡하게 구성되어 있으며, 기계번역 된것처럼 어색한 한국어로 작성되어 있어 일반 사용자들 역시 쉽게 피싱메일임을 인지할 수 있습니다. 

 

 

[그림 1] 피싱 메일



[내 암호를 유지] 버튼에는 링크가 걸려있으며, 사용자가 해당 영역을 클릭하면 피싱 페이지로 이동하게 됩니다. 

여기서 주목할만한 점은, 피싱 페이지에서 수신자 이메일 도메인을 읽어와 해당 도메인과 매칭되는 브랜드 로고를 노출시켜 사용자를 속인다는 것 입니다. 

 

[그림 2] 이메일 도메인 별 노출되는 브랜드 로고

 

 

접속된 피싱 페이지의 URL을 보면 피싱페이지URL/#사용자ID@이메일 도메인으로 구성되어 있는데, @이하 이메일 도메인에 매칭되는 브랜드 로고를 Clearbit API를 이용하여 불러오는 것 입니다. 

 

[그림 3] 이메일 도메인과 매칭되는 로고를 불러오는 코드

 

이러한 방식을 통하여 사용자의 신뢰를 얻고 계정정보를 입력하도록 유도하며, 입력한 계정정보는 공격자에게 전송됩니다.

 

이러한 기업 및 기관 구성원들의 계정정보가 유출될 경우 유출된 계정정보를 이용하여 인트라넷에 접속하여 추가 공격이 가능한 만큼, 기업 보안담당자 여러분들께서는 임직원들 대상으로 주기적인 보안교육을 진행하고, 주기적인 비밀번호 변경이나 2단계 인증을 통하여 만일에 사태에 대비하는 등 계정정보 보안에 각별한 주의를 기울여야 하겠습니다.

 

IoC

hxxps://maap[.]ucd.ie/wp-includes/Requests/Exception/Transport/nenew/Kr-new/
hxxps://maap[.]ucd.ie/wp-includes/Requests/Exception/Transport/nenew/Kr-new/next.php

 

 

 

 

 

 

 

 

 

 

관련글 더보기

댓글 영역