국내 유명은행 보안메일을 사칭하여 계정정보 탈취를 시도하는 피싱 메일 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 
국내 유명은행 보안메일을 사칭하여 계정정보 탈취를 시도하는 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 

이번 공격은 "[**은행,거래통지]_당발송금-국내자금이체 전문통지"라는 제목의 피싱 메일을 통해 유포되었습니다. 

 

 

[그림 1] 보안 메일을 사칭한 피싱 메일

 

 

피싱 메일은 은행에서 발송하는 보안 메일과 유사하게 제작되어있으며, "보안메일.html" 파일이 첨부되어 있습니다. 

 

공격자는 발송자 정보를 실제 해당 은행 메일 발송 정보로 조작하여 사용자의 실행을 유도하였습니다.

사용자가 피싱 메일 내 첨부되어 있는 "보안메일.html" 파일을 실행하면  주민번호 앞 6자리를 입력하라는 실제 보안메일과는 다르게 계정 비밀번호를 요구합니다. 

 

 

[그림 2] 정상 보안메일(좌) 및 가짜 보안메일(우)

만일 사용자가 해당 페이지에 비밀번호를 입력한다면 입력한 정보는 공격자 서버로 전송되며 공격이 종료되게 됩니다. 

이번 공격은 기업 사용자 대상으로 진행된 공격으로, 임직원 계정정보를 탈취하면 추가 공격에 활용이 가능한 만큼 기업 사용자 여러분들의 각별한 주의가 필요합니다. 

 

IoC

hxxps://eagleconstructiontn[.]com/yne.php

EAA7B319ED703A35DD90B1ED2DA29439