본문 바로가기
뉴스,지식창고/뉴스,이슈

[AhnLab]메일함 용량 업그레이드 요청 메일 주의하세요!

by BumPD 2022. 2. 10.
반응형

메일함 용량 업그레이드 요청 메일 주의하세요!

  • AhnLab
  • 2022-02-08

최근 ​ ASEC 분석팀은 국내 유명 포털 서비스를 사칭해 이용자의 정보를 수집하는 피싱 메일을 확인했다. 피싱 메일은 메일함의 용량을 업그레이드를 요구하며 링크 클릭을 유도하는 내용으로 구성되어 있으며, 사용자가 링크를 클릭할 경우 비밀번호 입력을 유도하는 피싱 사이트로 연결된다. 

 이번 글에서는 국내 유명 포털 서비스를 사칭한 피싱 메일의 유포 방식에 대해 자세히 살펴본다.

피싱 메일의 제목 및 본문은 [그림 1]과 같으며, 연결된 링크를 통해 피싱 사이트로 이동한다.
 

 [그림 1] 메일 제목 및 본문 내용
 
본문 메일에 연결된 링크로 접속하면, 아래와 같은 국내 유명 포털 서비스를 사칭한 피싱사이트로 연결된다.
피싱 사이트 URL : hxxp://www.eylulrentacar[.]com/indexh.html
 

 [그림 2] 피싱 사이트
 
정상적인 포털 서비스 로그인 사이트와 달리 피싱 사이트는 일회용 번호, QR 코드, 비밀번호 찾기, 아이디 찾기, 회원가입과 같은 기능을 제공하지 않는 것으로 확인할 수 있다.
 

 [그림 3] 정상 사이트의 일회용 번호, QR코드 로그인 기능
 
이후 피싱 사이트에서는 로그인 버튼을 통해 checkInput 함수가 활성화된다. checkInput 함수는 패스워드가 입력되어 있는지 확인 후, send 함수를 통해 수집한 정보를 공격자의 서버로 전송한다.
C2 서버 : hxxps://v2.faj[.]ma/wordpress/wp-includes/js/tinymce/plugins/wordpress/plugins.php
 

 [그림 4] 계정 정보 전송
 

 [그림 5] 계정 정보 전송 – 2
 
또한, send 함수는 계정 정보를 공격자의 서버로 전송할 뿐만 아니라 해당 과정의 빈도를 count라는 변수로 체크해 전송을 이미 시도한 피싱 사이트는 감시를 피하기 위해 정상적인 포털사이트 로그인 페이지로 리다이렉트하는 모습을 보인다.
 

 [그림 6] send 함수
 
 
이와 같은 피싱 메일에 대한 피해를 예방하기 위해서는 불분명한 메일에 대한 링크 연결 시 해당 사이트의 기능 정상 작동 여부 확인 등 사용자의 각별한 주의가 필요하다.
 
현재 안랩에서는 해당 피싱사이트의 도메인을 차단하고 있다. 
 
​​보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. 
 
  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

[출처 : AhnLab]

반응형

댓글