안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/09/05) ESRC에서는 견적서 검토를 요청하는 메일로 속인 악성 피싱 메일이 포착하였습니다. [그림 1] 견적서 검토를 사칭한 피싱 메일 메일에 첨부된 zip 파일을 다운로드해 열어보면, 인터넷 웹 페이지 파일 유형인 htm 파일이 들어 있는 것을 확인하실 수 있습니다. Filename MD5 PO190988765.htm 39578968CD2C3271D1A44E4FD893B11B DWG.htm 39578968CD2C3271D1A44E4FD893B11B 사용자가 해당 파일을 견적서와 관련된 파일로 착각해 클릭하면 국내 유명 포털의 로그인 화면으로 꾸민 피싱 사이트로 이동됩니다. [그림 2] 국내 유명 포털의 로그인 화면으로 위장..

악성코드 분석 리포트 2019. 9. 5. 15:15

Malspam campaign bypasses secure email gateway using Google Docs 공격자들이 구글 문서(Google Docs)를 사용해 PDF로 위장한 TrickBot 뱅킹 트로이목마를 피해자들에게 배포하고 있는 것으로 나타났습니다. TrickBot은 2016년 10월부터 활동해온 유명한 뱅킹 트로이목마로 제작자는 새로운 기능을 추가하며 지속적으로 업그레이드하고 있습니다. TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었습니다. 하지만 수년에 걸쳐 제작자는 데이터 탈취, 페이로드 드롭 등 새로운 기능을 추가했습니다. 최근 Secureworks의 CTU(Counter Threat Unit) 연구원들은 미국 모바일 사용자들을 노린 공격에서 새로운 동적 웹 인..

국내외 보안동향 2019. 9. 2. 10:33

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019/08/23) 페이스북 메시지를 통해 동영상 페이지를 사칭한 링크가 전달되었습니다. [그림 1] 동영상 페이지를 사칭한 링크 이 링크를 클릭하면 페이스북 로그인 화면으로 꾸민 피싱 사이트로 이동되며, 해당 사이트에 사용자의 로그인 정보를 입력할 경우 피싱 사이트 제작자에게 사용자의 계정 및 비밀번호가 전달됩니다. [그림 2] 페이스북 로그인 페이지를 사칭한 피싱 사이트 화면 [그림 3] 공격자에게 전달되는 개인 정보 화면 또한 계정정보 입력 후 "Log In" 버튼을 클릭하면 광고 사이트로 이동됩니다. [그림 4] 광고 사이트로 이동된 화면 ※ 피싱 사이트 및 개인정보 수집 사이트 주소- http://w6hywj850a1p.surg..

악성코드 분석 리포트 2019. 8. 23. 14:50

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 오늘 오전 특정 전자제품 유통회사의 관리자를 사칭한 피싱 메일이 발견되었습니다. 이번에 포착된 피싱 메일은 타깃인 특정 전자제품 유통회사의 직원에게 '귀하의 계정에서 이메일 전송이 중단'되었다면서 첨부파일을 실행하여 수동으로 계정을 확인하라고 하며 계정정보 입력을 유도하는 내용을 담고 있습니다. [그림 1] 이메일 전송이 중단되었다며 첨부파일 열람 유도하는 피싱 메일 특히, 공격자는 메일이 발송된 후 이틀 후까지 계정 확인 작업을 하지 않으면 계정이 영구적으로 종료된다고 빠른 계정정보 입력을 독촉하기까지 하고 있습니다. 이메일과 함께 첨부된 html파일을 열면 다음과 같은 계정정보 입력창이 뜨게 됩니다. [그림 2] 메일에 첨부된 html파일 ..

악성코드 분석 리포트 2019. 8. 21. 15:26

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 7월 3일) 개인정보 수집을 위해 서울중앙지방검찰청 사이트로 위장 된 피싱사이트가 발견되어 사용자들의 각별한 주의가 필요합니다. 이번에 발견 된 피싱사이트는 접속 한 사용자가 자신의 사건을 조회할 때 필요한 개인정보를 탈취하기 위해 제작되었습니다. * 서울중앙지방검찰청이란? 서울중앙지방법원에 대응하여 각종 범죄에 대한 수사와 집행 같은 행정적인 지원업무를 도와주는 특별지방행정기관입니다. 접속한 사용자가 "나의 사건 조회"를 클릭하게 되면 개인정보 탈취를 위해 제작 된 다른 사이트로 이동하게 됩니다. [그림 1] 서울중앙지방검찰청 피싱 사이트 화면 사용자의 실명확인을 위해 이름과 주민번호를 입력하면 피싱 사이트 제작자가 미리 만둘..

악성코드 분석 리포트 2019. 7. 4. 15:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2019년 06월 24일, 세금 계산서를 사칭한 악성 이메일이 국내 기업에 다량으로 유포된 정황이 포착되어 사용자들의 각별한 주의가 필요합니다. [그림 1] 세금 계산서를 사칭한 피싱 메일 이번에 발견된 피싱 메일은 어눌한 한국어로 본문이 작성되었으며, "tax@taesungmarine.com"이라는 발신자명을 사용하여 세금계산서 관련 담당자가 보낸 메일인 것처럼 꾸미려고 하였습니다. File Name MD5 19030#5630.zip b534f496ca813f0b5203364576fb2112 만약 해당 메일을 받은 사용자가 세금 계산서 관련 파일로 착각해 첨부된 ZIP 파일을 다운로드하고 압축 해제하면 다음과 같이 ISO 파일을 확인하실 수 ..

악성코드 분석 리포트 2019. 6. 27. 14:39

안녕하세요? 이스트시큐리티입니다. 최근 다음과 같은 메시지를 받으신 적이 있으신가요? - '[Web발신][CJ대한통운]주소지미확인.반송처리확인' - '[CJ대한통운]OOO주소가 틀려서 물건 배송이 안돼요. 주소 재확인 bit.ly/***' - '[한진택배]운송장번호[*********]주소지미확인..택배물품 미배달. 반송처리' - '[Web발신][CJ대한통운]주문 정보가 분명하지 않습니다 정보를 다시 확인합니다 bit.ly/***' 이 메시지들은 모두 택배사를 사칭한 스미싱 메시지입니다. 최근 위와 같은 스미싱 메시지를 통해 개인 정보를 입력, 앱 설치를 유도하여 나도 모르는 사이에 개인정보가 유출되는 피해가 크게 증가하고 있습니다. 그렇다면 어떻게 스미싱을 예방해야 할까요? 이미 스미싱 피해를 보았다면 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 6. 21. 17:03

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일 네이버 및 사무관을 사칭한 내용의 피싱 메일이 유포된 정황이 확인되어, 사용자분들의 각별한 주의가 요구됩니다. ESRC에서는 이번에 포착된 피싱 메일에 대해 아래와 같이 상세 분석을 진행하였습니다. 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 첫 번째 피싱 메일은 네이버 계정 비밀번호가 유출되었다며, 사용자 비밀번호 변경을 유도하는 피싱 메일입니다. 해당 피싱 메일은 불특정 다수에게 보낸 메일이 아닌, 해커가 탈취하고 싶은 계정을 상대로 보낸 것입니다. [그림 1] 네이버 계정 비밀번호 유출을 사칭한 피싱 메일 사용자가 피싱 메일의 내용을 실제 본인 계정의 비밀번호가 유출된 것으로 착각해 피싱 메일의 "비밀번호 변경 바로가기"를 클릭하면..

악성코드 분석 리포트 2019. 6. 21. 16:43