상세 컨텐츠

본문 제목

DHL을 위장하여 계정정보 탈취를 시도하는 피싱 메일 주의!

악성코드 분석 리포트

by 알약4 2021. 11. 18. 15:39

본문

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.
곧 다가오는 블랙프라이데이를 맞이하여 해외 직구족들을 노리는 피싱메일이 발견되어 사용자들의 주의가 필요합니다. 

 

이번에 발견된 피싱 메일은 DHL을 위장하고 있습니다. 

 

[그림 1] DHL 위장 피싱 메일



피싱 메일은 전자운송장을 작성하라는 내용과 함께 수신자 이메일 계정 ID_Shipping Doc 이름의 html 파일이 첨부되어 있습니다.

사용자가 만일 첨부되어 있는 html 파일을 실행하면, 다음과 같이 이메일 계정 비밀번호 입력을 요구하는 페이지가 뜹니다. 

 

 

[그림 2] DHL 피싱 페이지

 

 

사용자가 비밀번호를 입력하면 입력한 계정정보는 공격자의 서버로 전송되며, 특정 페이지로 리디렉션 됩니다. 

 

 

[그림 3] 계정정보 입력 후 리디렉션 되는 페이지

 

 

C&C 정보

hxxps://submit-form.com/J40spmPR

 

 

블랙프라이데이를 맞이하여 해외 구매를 하는 사용자들이 증가할 것으로 예상됩니다. 

사용자 여러분들께서는 의심스러운 메일의 열람을 지양하시고, 계정정보를 요구하는 경우 입력전 반드시 한번 더 URL을 확인하시는 습관을 길러야 하겠습니다.

 

현재 알약에서는 해당 파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역