본문 바로가기

피싱30

‘배송 실패’ DHL 사칭 악성메일 유포 중 ASEC 분석팀은 운송 회사 DHL 을 사칭한 악성 메일이 국내에 유포 중인 것을 확인하였다. 해당 메일은 배송 실패와 관련된 제목으로 유포 중이며 첨부된 링크를 클릭하도록 유도하고 있다. 유포 중인 악성 메일은 아래와 같으며, 메일의 발신자가 DHL Korea 인 것과 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 또한, DHL 이미지와 "배송 실패", "배송 조회" 등의 문구를 사용하여 사용자가 큰 의심 없이 첨부된 링크를 누를 수 있어 주의가 필요하다. 첨부된 링크는 Dropbox 링크로 연결되며 악성 HTML 파일을 다운로드하게 된다. 현재 V3 에서는 악성 HTML 파일을 다운로드시 아래와 같이 진단하고 있다. 다운로드된 HTML 파일을 실행시, 아래와 같이 .. 2020. 10. 16.
공정거래위원회를 사칭한 Makop 랜섬웨어 유포 (2020.10.06) ASEC 분석팀은 10월 6일 오전에 공정거래위원회를 사칭한 피싱 메일을 통해 Makop 랜섬웨어를 유포하고 있는 정황을 확인하였다. 기존 Makop 랜섬웨어는 포트폴리오, 이력서 등을 사칭하여 국내에 활발하게 유포되고 있었다. 아래의 [그림1],[그림2]와 같이 전자상거래 위반행위 조사통지서 내용의 그림을 본문 내용에 삽입 후 첨부된 압축파일을 열람하도록 유도하였다. Makop 랜섬웨어는 지난 블로그에서도 메일을 통해 활발히 유포 중이라고 공개한 바있다. 이번 유포 확인을 통해 여전히 공격자는 해당 랜섬웨어의 유포 방식으로 피싱 메일을 택하고 있음을 알 수 있다. (이전 블로그 : asec.ahnlab.com/1379) 국내에 지속적으로 유포 중인 Makop 랜섬웨어 (이메일 첨부) ASEC 분석팀에서.. 2020. 10. 6.
코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드 ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중 ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여 asec.ahnlab.com 피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장.. 2020. 8. 26.
더욱 정교하게 유포 중인 폼북(Formbook) 악성코드 ASEC 분석팀에서는 Formbook 악성코드가 그간의 유포 이메일보다 더 정교화된 내용으로 사용자들이 첨부된 파일을 의심없이 실행하도록 유포되고 있는 정황을 확인하였다. 정보유출형 악성코드인 Formbook은 자사에서 매주 업로드하고 있는 ‘ASEC 주간 악성코드 통계’에서 확인 할 수 있듯 국내에 활발히 유포 중이다. 이전 블로그에서도 언급을 했듯 해당 악성코드는 다양한 키워드를 주제로 속여 이메일을 통해 유포 중임을 알렸었다. 견적, 구매 메일로 위장해 유포되는 Formbook 악성코드 Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 � asec.ah.. 2020. 7. 30.
국내 포털(NAVER) 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 지난주 국내 포털 계정정보를 탈취하는 피싱 메일이 유포 중인 것을 공유하였는데, 금일 다른 국내 유명 포털 계정정보를 탈취하는 피싱 메일이 추가로 다수 유포 중인 것을 확인하였다. 해당 메일은 이전과 비슷한 방식으로 견적서, 송장과 관련된 내용을 포함하고 있으며 첨부 파일 실행을 유도하고 있다. 각 메일에는 "견적 의뢰서.xlsx.htm", "Purchase order.htm.rar" 명으로 파일이 첨부되어 있다. 파일명에 .xlsx 을 추가하여 엑셀 파일로 위장하고 있으며 rar 파일은 압축 해제시 내부에 악성 html 파일이 존재한다. 국내 포털 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 .. 2020. 7. 8.
공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중 ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL "hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]"이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다. .. 2020. 7. 2.
국내 포털 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다. 리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다. 해당 사이트는 사용자의 계정 정보를 탈취하는.. 2020. 7. 1.
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17.