광고성 html을 가장하여 악성코드를 다운로드하는 스팸메일 (1)

http://core.ahnlab.com/191
http://core.ahnlab.com/189


최근들어 상기 링크에 포스팅된 글들에서 언급해 드렸듯이 악성 html 파일을 첨부했거나 악성 html 링크를 삽입한 스팸메일이 지속적으로 유포되고 있습니다.

현재 글을 포함하여 앞으로 포스팅할 글들에서 해당 html 파일들의 상세한 정보를 알아보고자 합니다.


Case 1. 메일 내 링크를 삽입하여 사용자의 클릭 유도

우선, 앞서 언급해 드린 것과 같이 스팸메일 자체 html에 링크를 삽입하여 사용자가 클릭을 하도록 유도합니다.

금일 발견된 악성 스팸메일의 정보는 아래와 같습니다. 메일 본문 곳곳에 악성 html 링크가 삽입되어 있습니다.

메일 제목 : Amazon.com: Get Ready for Cyber Monday Deals

메일 본문

<곳곳에 악성 html 링크가 삽입된 메일 본문>

<html 메일 본문 내 삽입된 악성 html 링크>

Case 2. 악성 html 파일을 첨부한 스팸메일

악성 html 파일을 첨부한 스팸메일들은 아래와 같이 악성 html 파일을 첨부하여 첨부된 html 파일을 실행하도록 사용자를 유도합니다.

메일 제목 : I Love You Forever

메일 본문

Why You?
see attach ;)

첨부된 파일 : foryou.html

<삽입된 악성 html 링크>

메일 내 삽입된 악성 html 링크 클릭 혹은 첨부된 악성 html을 실행할 경우 아래와 같이 iframe이 삽입된 html 페이지로 연결되게 됩니다.

<iframe이 삽입된 악성 html>

해당 html에 의해 캐내다 성인 약품 광고 사이트 등으로 연결이 되며 사용자는 광고성 html 파일이라고 생각하게 됩니다. 하지만 삽입된 iframe에 의해 난독화된 웹 페이지로 사용자가 알아차리지 못한 채 연결이 되게 됩니다.

<사용자로 하여금 광고성 html 파일로 속이기 위한 광고페이지 연결>

다음 글에서 난독화 된 웹페이지를 살펴 보도록 하겠습니다.