황금연휴 시즌을 노린 국내 항공사 사칭 전자항공권 피싱 메일 주의!

 

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

ESRC는 지난 주말, 국내 항공사 도용하여 가짜 전자항공권 예약 확인서류가 첨부된 피싱 이메일을 수집하였습니다. 한 달여를 앞둔 황금연휴을 맞이하여 이와 유사한 피싱 공격이 꾸준히 이어질 것이 예상되므로 사용자 분들의 각별한 주의가 필요합니다.

 

해당 공격 메일은 "항공권 결제가 완료되었습니다~ 항공편이 예약되었습니다." 제목으로 유포되었으며, 발신자로 항공 업체와는 무관한 국내 엔지니어링 업체가 도용되었습니다. 또한, 이메일 내부에는 국내 대표 항공사를 사칭해 항공권 예약 확인서류를 첨부하였으니 확인 부탁드린다는 문구가 포함되어 있고, "티켓 확인증(2 성인).htm" 악성 피싱 HTML 파일이 첨부되어 있습니다.

 

 

[그림 1] 국내 항공사의 전자항공권 확인증으로 위장한 이메일

 

 

첨부된 HTM 파일을 실행하면 아래와 같이 사용자의 패스워드 정보를 입력하는 페이지로 연결되고, 입력된 정보는 공격자의 서버로 전송됩니다. HTM 파일 내부 스크립트를 디코딩하면 공격자의 개인정보 수집 사이트를 확인할 수 있습니다.

 

 

[그림 2] 이메일에 첨부된 피싱 HTML 파일 실행 시 보여지는 페이지

 

 

[그림 3] 복호화된 악성 스크립트 일부

 

 

공격자들은 연휴를 앞둔 사람들의 들뜬 마음을 악용해, 합법적인 항공사/여행사로 위장하여 항공권 예약확인 또는 할인 프로모션으로 사용자의 관심을 손쉽게 유도합니다. 따라서, 이동수단/숙박 및 휴가 패키지와 관련된 이메일을 수신하였을 때는 첨부파일과 링크에 접근하기 전 발신자와 이메일 주소의 진위 여부를 분명하게 확인하는 절차를 반드시 진행해주시기 바랍니다.

 

현재 알약에서는 해당 악성 파일을 Trojan.HTML.Phish 으로 탐지하고 있으며, 시의성 높은 이슈에 대한 모니터링을 지속하고 있습니다.

 

 

IoC

1DC358261528E556DE75A69FAF88AC41

06A03A64E0EF8F257D717E6F69A849EC

hxxp://asasdeumrio.com.br/css/morgan/cross[.]php