통관 정보 제출하라더니 알고 보니 피싱?
최근 운송 회사 사칭 메일이 ‘수입 통관 정보 제출 안내’라는 제목으로 유포되고 있다. 해당 메일이 유포된 과정을 자세히 알아보자.
메일 본문에는 [그림 1]과 같이 파일명이 ‘DHL_KOREA’로 시작하는 HTML 파일이 첨부돼 있다. 이 HTML 파일을 클릭하면 [그림 2]의 로그인 페이지로 이동한다.
[그림 1] 메일 본문
[그림 2] 운송 회사를 사칭한 로그인 화면
사용자가 로그인 페이지에서 입력한 비밀번호는 [그림 3]의 서버로 유출된다.
[그림 3] HTML 웹 소스에서 확인된 정보 유출 주소
정보 유출 주소: hxxps://lucent-fittings.000webhostapp[.]com/action.php
로그인 페이지에서 사용자가 계정을 입력하면 원드라이브(OneDrive)에 저장된 엑셀 파일이 열린다. 하지만 이 엑셀 파일은 크기가 허용된 제한을 초과해 실행되지 않는다.
[그림 4] 원드라이브 링크를 통해 연결되는 엑셀 파일
이 밖에, 통관사항 확인 요청 제목으로 피싱 메일이 유포된 사례도 있다. [그림 5]와 같이, 해당 메일을 열면 정상적인 PDF 파일로 위장한 첨부파일을 볼 수 있다. 이 파일을 열면 현재는 URL 접속이 불가하지만, 연결이 유효했을 당시에는 구로더(GuLoader) 악성코드가 다운로드됐던 것으로 확인된다.
[그림 5] 통관사항 확인 요청 메일 원문
[그림 6] 추가 악성코드를 다운로드하는 악성 PDF(Open 버튼 클릭 시 동작)
이처럼 최근 수입 통관 관련 피싱 메일이 대거 유포되고 있어, 사용자는 계정 정보를 입력하거나 파일을 실행하기 전에 각별히 주의해야 한다.
출처 : AhnLab