* 출처는 안랩입니다.

최근 운송 회사 사칭 메일이 ‘수입 통관 정보 제출 안내’라는 제목으로 유포되고 있다. 

해당 메일이 유포된 과정을 자세히 알아보자.

메일 본문에는 [그림 1]과 같이 파일명이 ‘DHL_KOREA’로 시작하는 HTML 파일이 첨부돼 있다. 

이 HTML 파일을 클릭하면 [그림 2]의 로그인 페이지로 이동한다.

[그림 1] 메일 본문

[그림 2] 운송 회사를 사칭한 로그인 화면

사용자가 로그인 페이지에서 입력한 비밀번호는 [그림 3]의 서버로 유출된다.

[그림 3] HTML 웹 소스에서 확인된 정보 유출 주소

Ÿ   정보 유출 주소: hxxps://lucent-fittings.000webhostapp[.]com/action.php

로그인 페이지에서 사용자가 계정을 입력하면 원드라이브(OneDrive)에 저장된 엑셀 파일이 열린다. 하지만 이 엑셀 파일은 크기가 허용된 제한을 초과해 실행되지 않는다.

[그림 4] 원드라이브 링크를 통해 연결되는 엑셀 파일

이 밖에, 통관사항 확인 요청 제목으로 피싱 메일이 유포된 사례도 있다. [그림 5]와 같이, 해당 메일을 열면 정상적인 PDF 파일로 위장한 첨부파일을 볼 수 있다. 이 파일을 열면 현재는 URL 접속이 불가하지만, 연결이 유효했을 당시에는 구로더(GuLoader) 악성코드가 다운로드됐던 것으로 확인된다.

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33184&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=957