견적 요청 메일로 위장한 피싱 메일 유포중
최근 견적 요청 메일로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다
이번에 발견된 메일은 “견적요청”이라는 제목으로 전파되었으며, 특정 기업에서 발송한 것처럼 사용자를 속여 메일에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다.
[그림 1] 견적 요청 메일로 위장한 피싱 메일
사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 개인 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다.
- 개인정보 수집 사이트 hxxps://man2deliserdang.sch.id/xel/view.php - 개인정보 수집 서버 IP 192.95.16.12 |
[그림 2] 외부 사이트 링크가 포함된 엑셀 파일
해당 첨부파일 문서 실행 시 외부 External 주소에 접속하여 통신을 시도합니다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <Relationships xmlns="hxxp://schemas.openxmlformats.org/package/2006/relationships"> <Relationship Id="rId2" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="../media/image1.png"/> <Relationship Id="rId1" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="hxxps://www.techniperu[.]com/g/index.php" TargetMode="External"/> </Relationships> |
현재는 php 페이지로 접속을 시도하였지만 제작자 의도에 따라 악성 파일로 수정될 수 있으며, 이와 유사한 위협으로 인한 피해를 예방하기 위해서는 사용자들의 각별한 주의가 필요합니다.
특히 해당 메일에는 100여 명의 수신자들이 등록되어 있고, 국내 유명 포털사이트, 대기업, 외국 계열 등 다수의 회사 메일들로 발송이 되었기 때문에 해당 기업들의 2차 정보 유출 피해도 우려되는 상황입니다.
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 피싱사이트를 아래와 같이 탐지하고 있습니다.
[그림 3] ESTsecurity-Threat Inside 개인정보 수집 사이트 탐지 화면
현재 알약에서는 해당 악성코드에 대해 Trojan.xlsx.Phish로 탐지중에 있습니다.