"싱가폴한인교회유치원"을 사칭한 발주서 피싱메일 주의!!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

최근 싱가폴 한인 교회 유치원에서 허위로 발주 된 구매주문서로 사용자의 계정을 노리는 피싱 메일이 발견되어 사용자들의 주의가 필요합니다.

[그림 1] 구매발주 제목으로 유포 된 이메일 화면

해당 메일은 TT00, TT4.5 구매 주문에 대한 발주서를 첨부 파일로 추가했습니다.

해당 메일에는 'T T00 구매 주문 -009111.zip', 'T T4.5 구매 주문 -009111.zip'라는 ZIP 파일이 첨부되어 있다. 사용자가 해당 첨부파일을 다운로드하여 압축 해제 후, 안에 있는 파일을 실행하면 아래와 같은 htm 파일을 확인할 수 있다.

[그림 2] 첨부파일 내부 화면

해당 메일을 받은 사용자가 구매 발주 확인을 위해 첨부파일을 다운로드하고 내부 파일을 실행할 경우, 공격자가 만들어 둔 가짜 국내 포털사이트 로그인 화면으로 이동한다.

[그림 3] 국내 포털사이트 로그인 화면을 사칭한 개인정보 수집 사이트

피싱 타깃이 된 사용자가 해당 페이지에 로그인 계정과 패스워드를 입력할 경우, 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.

현재 개인 정보 수집 사이트가 차단됨에 따라 전달되는 정보는 알 수 없지만, 내부 코드를 살펴보면 다음과 같은 사이트로 개인 정보를 전달하는 것을 알 수 있습니다.

[그림 4] 수집 된 개인정보 내용

개인 정보 수집 사이트 상세 정보

 

개인 정보 수집 사이트는 이전에 분석했던 내용과 동일한 서버를 사용하는 것으로 확인되었습니다.

-  T/T 송금 관련으로 위장한 국내 포털 피싱 메일 주의!!

- 금융 관련 안내서로 위장한 피싱 메일 주의!! 

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

 [그림 5] ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면

또한 알약에서는 해당 첨부 파일에 대해 Trojan.HTML.Phish으로 탐지 중에 있습니다.