* 출처는 안랩입니다.
안랩 분석팀은 최근 PDF 문서 뷰어로 위장한 피싱 스크립트 파일이 이메일 첨부 파일을 통해 유포 중인 정황을 확인했다. 해당 파일은 실제 PDF 문서와 유사하게, 실행 시 이메일 비밀번호 입력을 유도하는 창이 뜬다.
사용자가 비밀번호를 입력하면 공격자는 텔레그램(Telegram)을 통해 사용자 정보를 유출한다.
이번에 확인된 피싱 스크립트 파일들은 아래와 같이 구매 주문서(PO, Purchase Order), 주문, 영수증, 발주서 등의 키워드를 파일명으로 사용했다.
|
New order_20230831.html |
Salbo_PO_20230823.pdf.html |
|
WoonggiOrder-230731.pdf.html |
PO_BG20231608-019.html |
|
○○○ Pharma.pdf.html |
DH○_BILL_LADING_DOCUMENT_RECEIPT.html |
|
_○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) |
BL_148200078498.html |
|
En○○○ Purchase Order.html |
Sung○○ BioX_New PO.pdf.html |
이메일에 첨부된 HTML 파일을 실행하면 [그림 1]과 같이 문서 내용이 블러 처리된 배경 이미지에 ‘문서를 보려면 이메일 비밀번호로 로그인하세요’라는 문구가 적힌 창이 나타난다. 비밀번호 입력 칸 아래에는 잘못된 암호를 사용하면 파일에 액세스할 수 없다는 문구도 존재한다. 겉으로 보면 정상적인 PDF 문서와 다를 바 없어 보인다.
[그림 1] 첨부 파일 실행 시 확인되는 로그인 유도 화면
또한, 로그인을 시도할 때 비밀번호를 입력한 횟수에 따라 표시되는 문구도 다르다. 비밀번호 란에 아무것도 입력하지 않은 상태에서 로그인 버튼을 누르면 ‘일치하는 로그인 정보를 찾을 수 없습니다’라는 문구가 뜬다. 비밀번호를 1회 또는 2회 잘못 입력한 경우에는 각각 ‘비밀번호를 정확히 넣어 주십시오’, ‘입력하신 메일 비밀번호가 잘못되었습니다’라는 안내 문구가 표시된다.
[그림 2] 비밀번호 입력 횟수에 따라 다르게 보여지는 문구 (빨간 글씨)
그런데 로그인 시도를 3회 시도할 경우, 국내 ERP 전문 기업에서 외부에 공개적으로 제공하는 홍보용 PDF 다운로드 웹사이트로 연결된다. 이는 일반 사용자가 피싱 파일임을 인지할 수 없도록 외부에 공개된 정상 PDF 파일을 활용한 것이다. 또한, 정상 이미지 파일이 업로드된 사이트로 리다이렉트하기도 한다.
[그림 3] 외부에 공개된 정상 PDF 사이트로 리다이렉트되는 화면
[그림 4] 디코이(Decoy) 이미지를 업로드한 사이트로 리다이렉트되는 화면
* 전체내용은 아래에서 확인하세요
![[포인트 마켓] darkFlash AURA DA-280 RGB (화이트)](https://img.danuri.io/catalog-image/535/061/018/6fdb5a7c0f3a419e8926dd5fa6b5e4b2.jpg?fitting=Large|140:105&crop=140:105;*,*)
