‘배송 실패’ DHL 사칭 악성메일 유포 중

ASEC 분석팀은 운송 회사 DHL 을 사칭한 악성 메일이 국내에 유포 중인 것을 확인하였다. 해당 메일은 배송 실패와 관련된 제목으로 유포 중이며 첨부된 링크를 클릭하도록 유도하고 있다.

 

유포 중인 악성 메일은 아래와 같으며, 메일의 발신자가 DHL Korea 인 것과 한국어를 사용한 점으로 보아 국내 사용자를 대상으로 유포 중인 것을 알 수 있다. 또한, DHL 이미지와 "배송 실패", "배송 조회" 등의 문구를 사용하여 사용자가 큰 의심 없이 첨부된 링크를 누를 수 있어 주의가 필요하다. 첨부된 링크는 Dropbox 링크로 연결되며 악성 HTML 파일을 다운로드하게 된다. 현재 V3 에서는 악성 HTML 파일을 다운로드시 아래와 같이 진단하고 있다.

 

DHL 을 사칭한 악성 메일

HTML 파일 차단

다운로드된 HTML 파일을 실행시, 아래와 같이 브라우저 알림창이 생성된다. 알림창의 내용은 배송 확인을 위해 사용자의 이메일과 비밀번호를 입력 후 로그인을 하도록 유도하고 있다.

 

HTML 파일 실행시 생성되는 알림창

알림창이 닫힌 후 DHL 사이트의 로그인 화면을 확인할 수 있다. 해당 페이지는 DHL 을 사칭한 피싱 페이지이며, 사용자가 계정 정보를 입력 후 로그인을 진행하게 되면 아래 서버로 정보가 유출된다.

 

• 정보 유출 주소 : hxxps://www.metklm.com/kr/dhs.php

DHL 피싱 페이지

계정 정보를 공격자 서버로 전송 후 송장 이미지를 포함하고 있는 아래 페이지로 연결되기 때문에 사용자는 계정 정보가 탈취되었다는 사실을 알아차리기 어렵다.

 

계정 정보 전송 이후 연결되는 페이지

국내 사용자를 대상으로 배송과 관련된 문구를 포함한 악성 메일 유포가 증가하고 있으므로, 사용자들은 출처가 불분명한 메일 열람시 주의가 필요하며 첨부 파일을 실행하지 않도록 해야한다.

 

현재 V3 제품에서는 관련 파일에 대하여 아래의 진단명으로 탐지하고 있다.

 

[파일 진단]

• Phishing/HTML.Generic.S1156 (2020.04.03.09)

[관련 IOC 정보]

• 17227916E56DC1E0F75B8FCD956D52CB
• 86E43B2A6F1D486B783206A44C6B162C
• hxxps://www.metklm.com/kr/dhs.php