분석 정보/악성코드 분석 정보

[악성코드 분석]비정상적인 로그인 활동 관련 피싱 메일 유포중!

TACHYON & ISARC 2019. 7. 22. 10:50

비정상적인 로그인 활동 관련 피싱 메일 유포중!

1. 개요

현재 비정상적인 로그인 활동을 알리는 내용으로 피싱 메일의 유포가 지속적으로 이루어지고 있어 사용자의 주의가 필요하다. 피싱 메일의 내용은 바뀌었지만, 피싱 메일에 첨부된 링크를 클릭하면 이전 사례와 동일하게 cPanel(웹 호스팅 업체)의 가짜 webmail 로그인 페이지로 연결되어 사용자의 이메일 로그인 계정정보를 기재하도록 유도하고 있다.

 

 

 

 


2. 분석 정보

2-1. 유포 경로

이번에 유포 중인 피싱 메일은 사용자의 이메일 계정이 의심스러운 장소에서 로그인 시도가 있었다는 내용이다. 피싱 페이지로 연결되는 링크는 두 개로 늘어났으며 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구하는 내용은 동일하다.

 

[그림 1] 링크 클릭을 유도하는 피싱 메일

 

 

2-2. 실행 과정

사용자가 본인의 이메일 계정이 노출된 것으로 착각해서 계정의 비밀번호를 변경하기 위해 피싱 메일의 링크를 클릭하면, 가짜 webmail 로그인 페이지로 연결되어 로그인 계정 정보를 요구한다. 이전 사례와 다른 점은 https로 연결된 피싱 페이지이지만, 사용자가 로그인 계정 정보를 입력할 경우 아래와 같이 계정 정보를 탈취할 수 있다. 그 외 하단에 정상 cpanel 사이트로 연결되는 링크 부분(Copyright)이 존재하지 않는 점은 동일하다.

 

[그림 2] 정상 webmail 로그인 페이지(왼), 가짜 webmail 로그인 페이지(오)

 

 

[그림 3] 로그인 계정 정보 탈취

 

 

피싱 공격자의 IP를 확인해보면, 등록된 도메인 주소가 매번 달라지고 있다. 등록된 도메인 중에는 인증서가 유효한 도메인도 존재하며 취약한 웹 사이트가 공격자에 의해 변조되어 피싱 페이지로 도용될 가능성도 존재한다.

 

[그림 3] 피싱 페이지에 도용되는 도메인 주소

 

 

 

 

 

3. 결론

이번 피싱 메일도 수신자가 불안감을 느끼게 하는 내용과 함께 가짜 로그인 페이지로 연결되는 링크를 클릭하도록 유도한다. 사용자의 로그인 계정 정보를 입력하도록 유도하는 내용은 개인정보 탈취 가능성이 있기 때문에 사용자의 주의가 필요하다. 만일 링크를 통해 사이트로 이동할 경우, 본인이 원하는 사이트의 주소가 맞는지, 유사한 주소는 아닌지 스펠링도 확인하는 등 유심히 살펴봐야 한다.