본문 바로가기

피싱26

국내 포털(NAVER) 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 지난주 국내 포털 계정정보를 탈취하는 피싱 메일이 유포 중인 것을 공유하였는데, 금일 다른 국내 유명 포털 계정정보를 탈취하는 피싱 메일이 추가로 다수 유포 중인 것을 확인하였다. 해당 메일은 이전과 비슷한 방식으로 견적서, 송장과 관련된 내용을 포함하고 있으며 첨부 파일 실행을 유도하고 있다. 각 메일에는 "견적 의뢰서.xlsx.htm", "Purchase order.htm.rar" 명으로 파일이 첨부되어 있다. 파일명에 .xlsx 을 추가하여 엑셀 파일로 위장하고 있으며 rar 파일은 압축 해제시 내부에 악성 html 파일이 존재한다. 국내 포털 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 .. 2020. 7. 8.
공직메일(@korea.kr) 계정탈취를 위한 피싱메일 유포 중 ASEC 분석팀은 공직자를 타켓으로 한 스팸메일이 국내에 유포되고 있는 것을 확인하였다. 메일에는 계정에 대한 접근이 중단되었으며 요청을 취소하려면 하이퍼링크를 클릭하라는 내용이 담겨있어 사용자가 피싱 페이지에 접속하도록 유도한다. 메일의 발신자의 이름과 내용에 포함된 korea.kr은 국가 공직 메일 주소로 해당 메일 사용자를 대상으로 유포된 것으로 추정된다. 메일 내부에는 피싱 페이지로 리다이렉트(redirect) 되는 URL "hxxps://u17178692.ct.sendgrid.net/ls/click?upn=[특정 값]"이 존재한다. 하단에는 Symantec Email Security.cloud 서비스에서 메일을 발송한 것처럼 보이는 글이 삽입되어 있지만 해당 주소 역시 동일한 주소를 담고있다. .. 2020. 7. 2.
국내 포털 계정정보 탈취용 피싱메일 주의! ASEC 분석팀은 국내 포털 사이트를 위장한 피싱 파일(HTML)이 스팸메일을 통해 국내에 유포되고 있는 것을 확인하였다. 스팸메일은 송장과 관련된 내용으로 첨부 파일 실행을 유도한다. 첨부된 파일은 압축 파일(zip) 형태이며, 압축 파일 내부에는 국내 포털 사이트를 위장한 HTML 파일이 존재한다. 해당 HTML 파일 실행시 hxxps://short.pe/cdqhD1 주소로 이동하게 되며, 해당 url 에 접속시 hxxps://www.jagprocurador.com/cgi-bin/Offer/Daum/Daum.html 주소로 리다이렉트(redirect) 된다. 리다이렉트된 url 에 접속시 아래와 같이 국내 유명 포털 사이트의 로그인 화면을 확인할 수 있다. 해당 사이트는 사용자의 계정 정보를 탈취하는.. 2020. 7. 1.
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취) 3월 14일, ASEC 분석팀은 '구매확인서 발급 확인요청'으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를 소개한 바 있다. 이 중 대부분의 악성코드는 실행파일 형태로 아이콘과 확장자를 문서 파일(.pdf, .hwp)로 속임으로써 사용자의 감염을 유도했다. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되.. 2020. 3. 17.
부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와 같은 파일명 형태로 유포 중인 것으로 .. 2020. 1. 6.
[주의] 국내 은행 사칭 피싱메일에 의한 랜섬웨어 공격 12월 20일 국내를 대상으로 다운로더 악성코드를 유포하는 스팸메일이 유포되고 있어 사용자의 주의가 필요하다. 해당 HTML 파일 실행 시 다음과 같이 국내 은행을 사칭한 화면을 볼 수 있다. 패스워드로 생년월일 6자리를 입력하게 되어있지만, 공백을 제외한 아무 문자나 입력 가능하다. 패스워드 입력 후 Confirm 버튼을 클릭하면 악성 매크로가 포함된 엑셀 파일이 다운로드된다. 보안암호첨부.html (최초 피싱메일에 첨부) 1219190024759XLS.xls (피싱메일로 부터 다운로드 받은 엑셀파일) outgoing.dll (엑셀파일에서 다운로드되는 다운로더 DLL) temp01.exe (DLL 파일에 의해 다운로드되는 랜섬웨어) 아래 그림은 수신되는 메일의 내용과 HTML 실행시의 화면들이다. 메일.. 2019. 12. 20.
링크트인 피싱 메일 발견 유명 비즈니스 중심 소셜 네트워크 서비스인 링크트인(Linkedin)에서 보낸 메일로 가장해 링크트인 계정 정보를 훔치려는 피싱 메일이 발견되었다. -발신자: no-reply@linkedin.com-제목: Linkedin Alert. ‘View Now’를 클릭하면 다음 주소로 연결되고 링크트인 로그인 페이지가 뜬다. http://drum*****.com/htp/www/linkedin_com 하지만, 해당 웹사이트 주소는 파키스탄의 병원으로 공격자는 특정 병원 홈페이지를 해킹해 공격에 이용했다. 꾸준히 발견되고 있는 간단한 피싱 공격이지만 사용자가 착각해 로그인 정보를 입력하면 그대로 계정 정보가 유출되고 인적 관계가 알려져 또 다른 공격에 이용 될 수 있다. 따라서, 서비스 업체에서 보낸 메일 중 로그인.. 2014. 8. 28.
국가 재난을 악용한 ‘세월호’ 스미싱 그리고 피싱 지난 4월 16일 수요일 아침. 대한민국 국민들은 믿기지 않는 소식을 접하게 된다. 그것은 세월호 침몰 사고 였다. 지금도 그 당시의 충격이 가시지 않고 있다. 유가족 뿐만 아니라 대한민국 국민 모두가큰 슬픔에 잠겨 있었지만, 세월호와 관련된 허위사실이 SNS로 유포되거나, 악용된 '스미싱' 등이 슬픔에 잠긴 국민들에게 다시한번 돌이킬 수 없는 상처를 주고 있다. '스미싱' 이란 문자메시지에 포함된 인터넷 주소를 클릭하면 악성 앱(apk)을 다운로드 받게되고,이 앱을 스마트폰 사용자가 설치/실행하게 되면,사용자의 개인정보 및 금융정보를 탈취 당하게 된다. 세월호 관련 '스미싱' 문자는 "실시간 속보…", "침몰 그 진실..", "생존자 확인…" 등과 같은 문구를 이용했으며, "세월호 사칭 스미싱 대처 방.. 2014. 5. 13.