Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[Malspam] Phishing을 통한 계정 유출 (Fake Match.com)
작성일 2018-01-25 조회 1556

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

 

 

 

유포 방식: E-Mail 내 피싱 링크

 

메일 내용

 - 제목: 귀하의 메일에 답장이 왔습니다.

 - 내용: 읽지 않은 메시지가 2개 있습니다.

 

[그림] 피싱 메일 (myonlinesecurity)

 

 

 

'Read Now' 버튼을 클릭하면 아래의 C2로 접속하게 되고, 해당 페이지가 바로 피싱 사이트입니다.

 

Location C2 - hxxps://storage[.]googleapis[.]com/klanz/index.html

 

 

많은 피싱 사이트들과 조금 다른 점이 있다면 HTTPS 통신을 하는 페이지를 사용한다는 것입니다. Google Storage 의 파일 호스팅 서비스를 이용하여 HTTPS 통신을 별도의 서버 구축 없이 페이지를 사용할 수 있는 것입니다. 

 

여느 피싱사이트와 마찬가지로 정상적인 사이트와 동일하게 구성하여 계정과 비밀번호의 정보를 입력하게 유도합니다.

 

적절한 시나리오와 약간의 기술력, 그리고 사회공학적 공격 방법이 녹아있는 전형적인 피싱사이트입니다.

 

 

 

 

[그림] 피싱사이트

 

 

 

계정과 비밀번호 입력 후 'Sign in now' 버튼 클릭 시 지정된 URL로 계정 정보가 전송되게 되며 대부분 Post로 정보를 담아 전송됩니다.

 

전송되는 C2는 아래와 같습니다.

 

C2 - hxxp://himanrami[.]cf/images/aa.php

 

 

[그림] HTML Source

 

 

 

다행스럽게 상기 C2는 현재 닫혀있는 상태로 추가적인 피해는 없을 것으로 판단됩니다.

 

[그림] Closed C2

 

 

신뢰하지 못하는 사용자에게 온 메일의 첨부파일은 다운로드 및 실행하지 말아야 하며, 링크 또한 클릭하지 않아야 합니다. 보안 의식의 함양으로 불특정 다수로 뿌려지는 스팸메일의 희생자가 되지 않았으면 합니다.

 

 

 

 

Source 

[Title] https://www.avast.com/c-phishing

https://myonlinesecurity.co.uk/fake-match-com-somebody-has-replied-to-your-message-phishing-scam/

첨부파일 첨부파일이 없습니다.
태그 Malspam  계정 정보 유출