ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다.
메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL "hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]"이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다.
하이퍼링크 클릭 시 메일 서버에 접속하는 것 같은 페이지에 접속한 후 최종적으로 계정의 패스워드를 입력하는 페이지로 리다이렉트 된다.
해당 피싱 페이지에서 로그인 할 경우 국내 정상 사이트가 표시되어 사용자가 정상적으로 계정 접근이 허가된 것으로 보여 계정 정보가 탈취된 것을 알아차리기 어렵다.
계정 정보와 관련된 메일을 수신 시 메일을 보낸 발신인을 꼭 확인해야 하며, 출처가 불분명한 메일에 포함된 URL을 클릭하지 않도록 주의가 필요하다.
'악성코드 정보' 카테고리의 다른 글
| 견적, 구매 메일로 위장해 유포되는 Formbook 악성코드 (0) | 2020.07.06 |
|---|---|
| '북한의 회색지대 전략과 대응방안' 한글문서(HWP) 유포 중 (0) | 2020.07.03 |
| 국내 포털 계정정보 탈취용 피싱메일 주의! (0) | 2020.07.01 |
| 법원판결 내용의 악성 엑셀(XLS) 파일 유포: 코니(KONNI) 조직 (0) | 2020.07.01 |
| ASEC 주간 악성코드 통계 ( 20200622 ~ 20200628 ) (0) | 2020.06.30 |
댓글