견적요청으로 위장된 국내 포털 사이트 난독화 피싱 메일 주의!!
최근 견적 요청 관련으로 국내 유명 포털사이트 계정을 노리는 피싱 메일이 발견되어 사용자의 주의가 필요합니다.
이번에발견된메일은“FW:견적요청(REF#19117030P)”라는제목으로수신되었으며본문에는아무런내용이없고견적서로위장된HTML 파일만첨부되어있습니다.
사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 국내 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.
첨부 된 파일의 대한 정보는 다음과 같습니다.
첨부 파일명 |
알약 탐지명 |
Inquiry PR11020204168.xlsx.htm |
Trojan.HTML.Phish |
사용자가피싱페이지에포털사이트계정과패스워드를입력할경우모두개인정보수집사이트로전송되며,이후실제견적서처럼보이는파일을외부서버를통해사용자에게보여줍니다.
이번에 발견된 피싱 메일에서는 바카라 아라 시스템의 탐지를 회피하기 위해 사용자가 입력 한 개인 정보 전달 서버 주소를 난독화하여 사용하였습니다.
전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.
- 개인 정보 수집 사이트
hxxps://chinaminimart[.]info/ps-login.php
- 개인정보 전달 서버 IP
144.76.181.179
이번 피싱사이트에 사용된 IP 주소를 추가적으로 조사 한 결과 이전에 발견 된 유사 한 IP 주소를 확인하였습니다.
- 2020/10/27 hxxps://hongkmalls[.]info/naver-estimate.php (144.76.181.178)
현재이스트시큐리티‘쓰렛인사이드(ThreatInside)’에서는해당개인정보수집사이트를아래와같이탐지하고있습니다.