상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
지속적으로 국내 이용자를 대상으로 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 이용자들의 주의를 당부드립니다.
이번에 발견된 메일은 계약 체결 내용으로 첨부 파일 '체결 된 계약.zip' 실행을 유도합니다.
[그림 1] 계약 체결 위장 악성 메일
첨부 파일 '체결 된 계약.zip'에는 동일한 해시를 가진 'oi k cn.html', 'STATEMENT OF ACCOUNT.html' HTML 피싱 파일이 있습니다.
[그림 2] 첨부 파일 '체결 된 계약.zip'
이용자가 첨부 파일을 실행할 경우, 다음과 같이 'Daum 오류 : 다운로드를 다시 시작하려면 확인을 클릭하십시오' 메시지가 나타납니다. 오류 메시지를 보여주는 이유는 계약 관련 문서를 다운받을 수 있는 것처럼 보여주기 위함으로 보입니다.
[그림 3] 파일 다운로드 오류 메시지
메시지에서 '확인'을 누를 경우 아이디와 비밀번호 입력을 유도하는 국내 포털 사이트로 위장한 웹 페이지가 나옵니다.
[그림 4] 아이디 및 비밀번호 입력을 유도하는 HTML 파일
만일 이용자가 계약 문서를 다운로드하기 위해 아이디 및 비밀번호를 입력하고 '로그인' 버튼을 클릭 할 경우, 공격자가 구축한 C&C(http://jmlr[.]com[.]br)로 입력한 정보가 전송됩니다.
[그림 5] 입력한 정보를 C&C로 전송하는 화면
관련하여 유사한 변종을 확인하던 중 상품 입항 예정 내용으로 첨부된 HTML 피싱 파일을 실행하는 악성 메일이 발견되었습니다.
[그림 6] 상품 입항 예정 악성 메일
첨부된 HTML 피싱 파일 'KakaoTalk_20180605_4513119540.htm'은 또 다른 국내 포털 사이트 로그인 화면으로 위장한 웹 페이지입니다. 아이디 및 비밀번호 입력시 입력한 정보를 C&C(http://93[.]115[.]38[.]30/~jonesbe2/john/brain/veds[.]php)로 전송합니다. 다음은 로그인 화면 및 입력한 데이터를 C&C로 보내는 화면입니다.
[그림 7] 아이디 및 비밀번호 입력 유도하는 화면
[그림 8] C&C로 정보를 전송하는 화면
공격자에게 넘어간 아이디 및 비밀번호 정보를 토대로 추가적인 정보 유출 피해 등이 발생할 수 있어 주의가 필요합니다. 따라서 출처가 불분명한 메일에 있는 첨부 파일 혹은 링크에 접근을 삼가시기 바랍니다. 또한 계정 정보와 같은 민감한 정보를 입력하기 전, 정상 사이트인지 한 번 확인해주시는 보안 습관을 가져주시기 바랍니다.
현재 알약에서 'Trojan.HTML.Phish'로 진단하고 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| 사서함 공간 업그레이드 내용으로 유포되는 악성 메일 주의 (0) | 2018.07.03 |
|---|---|
| 문자가 깨진 악성 메일로 유포되는 GandCrab 랜섬웨어 주의 (0) | 2018.06.29 |
| 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (0) | 2018.06.25 |
| '오퍼레이션 스타크루저(Operation Starcruiser)' 그룹의 변종 악성코드 발견 주의 (0) | 2018.06.22 |
| Trojan.Android.InfoStealer 악성코드 분석 보고서 (0) | 2018.06.21 |
댓글 영역