악성코드 분석 리포트

스캔한 문서 이미지 클릭 시 계정 탈취 로그인 페이지로 이동되는 피싱 공격 주의!!

알약(Alyac) 2020. 5. 19. 14:46



안녕하세요?

이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 문서를 스캔한 이미지를 클릭할 때, 계정 탈취 로그인 페이지로 이동되는 피싱 공격이 다수 발견되어 사용자들의 주의가 필요합니다. ESRC에서는 동일한 공격 방법을 사용하는 3개의 피싱 메일을 확인하였으며, 메일 제목이 “스캔 파일”인 메일로 분석한 내용을 설명하고자 합니다.



  [표 1] 스캔한 문서 이미지 클릭 시 다음 로그인 페이지로 이동되는 피싱 메일



이번에 발견된 메일은 문서를 스캔한 이미지를 작게 보여주고 사용자의 클릭을 유도하며, 이미지를 클릭하면 아래의 피싱 사이트로 이동하게 됩니다.



[그림 1] 첨부파일로 보이는 이미지



[그림 2] 첨부파일로 보이는 이미지



[그림 3] 첨부파일로 보이는 이미지



또한 피싱 메일에는 HTML 파일이 첨부되어 있는데, 첨부파일을 실행하면 이미지를 클릭했을 때와 동일하게 피싱 사이트로 이동하게 됩니다.



[그림 4] 첨부파일의 HTML 코드



[그림 5] 이동된 피싱 사이트 화면



피싱 사이트는 다음(Daum) 로그인 페이지처럼 보이도록 제작되었으며, 사용자의 계정과 패스워드 입력을 유도합니다. 이를 통해 수집되는 개인정보는 다음과 같습니다.



[그림 6] 수집된 개인정보 내용



현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 피싱 사이트를 아래와 같이 탐지하고 있으며 상세 IoC정보를 확인할 수 있습니다. 또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중입니다.




[그림 7] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면