본문 바로가기

견적요청으로 위장된 국내 포털 사이트 난독화 피싱 메일 주의!!

바카라 아라공지 2021-02-02
바카라 아라

최근 견적 요청 관련으로 국내 유명 포털사이트 계정을 노리는 피싱 메일이 발견되어 사용자의 주의가 필요합니다.

이번에발견된메일은“FW:견적요청(REF#19117030P)”라는제목으로수신되었으며본문에는아무런내용이없고견적서로위장된HTML 파일만첨부되어있습니다.

바카라 아라
포털사이트 계정 탈취를 위한 피싱 공격 이메일 화면

사용자는 견적 확인을 위해 첨부 된 파일을 다운로드하여 실행할 경우, 국내 포털사이트 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.

첨부 된 파일의 대한 정보는 다음과 같습니다.

첨부 파일명

알약 탐지명

Inquiry PR11020204168.xlsx.htm

Trojan.HTML.Phish

바카라 아라
브라우저로 동작 된 국내 포털사이트 피싱 페이지 화면

사용자가피싱페이지에포털사이트계정과패스워드를입력할경우모두개인정보수집사이트로전송되며,이후실제견적서처럼보이는파일을외부서버를통해사용자에게보여줍니다.

사용자를 속이기 위해 연결된 견적서 파일 화면

이번에 발견된 피싱 메일에서는 바카라 아라 시스템의 탐지를 회피하기 위해 사용자가 입력 한 개인 정보 전달 서버 주소를 난독화하여 사용하였습니다.

난독화 된 개인 정보 전달 서버 복호화 화면

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

- 개인 정보 수집 사이트

hxxps://chinaminimart[.]info/ps-login.php

- 개인정보 전달 서버 IP

144.76.181.179

이번 피싱사이트에 사용된 IP 주소를 추가적으로 조사 한 결과 이전에 발견 된 유사 한 IP 주소를 확인하였습니다.

- 2020/10/27 hxxps://hongkmalls[.]info/naver-estimate.php (144.76.181.178)

현재이스트시큐리티‘쓰렛인사이드(ThreatInside)’에서는해당개인정보수집사이트를아래와같이탐지하고있습니다.

ESTSecurity-Threat Inside 개인정보 수집 사이트 탐지 화면