본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

정상 사이트에 포함된 악성 스크립트를 통해 유포되는 피싱 공격 주의!

보안공지 2023-07-05


정상 사이트에 악성 스크립트를 삽입하여 네이버 계정정보를 탈취하는 공격이 발견되어 주의가 필요합니다.

 

정상 사이트에 첨부되어 있는 악성 스크립트는 구글, 네이버 등 검색 엔진을 통해 검색하여 접속한 경우에만 동작하며, 사용자가 직접 도메인 주소를 입력하여 접속한 경우는 동작하지 않습니다.

[그림 1] 정상 사이트에 삽입되어 자동실행되는 악성 JS파일

 

[그림 2] 공격에 악용된 정상 사이트

 

이후 네이버 로그인 피싱 페이지로 리디렉션되며, 계정정보를 입력하면 공격자 서버로 계정정보가 전송되고 추가 리디렉션 없이 공격이 종료됩니다.

 

참고로, 이번 공격은 사용자 브라우저 쿠키값을 체크하여 재접속을 제한하고 랜딩페이지와 유포페이지, 그리고 개인정보를 저장하는 수집 페이지까지 모두 다른 정상 사이트에 구성한 특이점이 있습니다.

 

 

[그림 3] 네이버 로그인 피싱 페이지

 

 

[그림 4] 탈취한 로그인 정보 전달 페이지

 

 

ESRC는 이번 공격이 과거 정상 사이트에 악성 스크립트를 삽입하여 네이버 로그인 피싱 페이지를 팝업 시키는 공격과 공격 수법, 코드 구성 등이 유사한 것을 근거로 동일 공격자의 소행으로 추정하고 있습니다.

 

[그림 5] 과거 정상 사이트에 삽입된 악성 스크립트
[그림 6] 정상 사이트 화면에 팝업되는 네이버 로그인 피싱페이지

 

 

공격자는 정상페이지를 탈취하여 악성 파일을 삽입함으로써 탐지 및 차단 우회를 시도하였으며, 이는 일반적으로 정상 사이트의 URL 차단을 진행하지 않는다는 허점을 노린 것으로 보입니다. 따라서 정보보안담당자 분들은 주기적으로 서버 내 수상하거나 악의적인 파일이 있는지 꼼꼼히 살펴보고, 서버 내 기타 취약점도 다각도로 점검하는 프로세스를 구축하는 것이 필요합니다.