본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

견적 요청 메일로 위장한 피싱 메일 유포중

보안공지 2020-11-02


최근 견적 요청 메일로 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다


이번에 발견된 메일은 “견적요청”이라는 제목으로 전파되었으며, 특정 기업에서 발송한 것처럼 사용자를 속여 메일에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다.



[그림 1] 견적 요청 메일로 위장한 피싱 메일



사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 개인 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다.



- 개인정보 수집 사이트

hxxps://man2deliserdang.sch.id/xel/view.php


- 개인정보 수집 서버 IP

192.95.16.12


[그림 2] 외부 사이트 링크가 포함된 엑셀 파일

 

 

해당 첨부파일 문서 실행 시 외부 External 주소에 접속하여 통신을 시도합니다.



 <?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships xmlns="hxxp://schemas.openxmlformats.org/package/2006/relationships">

<Relationship Id="rId2" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="../media/image1.png"/>

<Relationship Id="rId1" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="hxxps://www.techniperu[.]com/g/index.php" TargetMode="External"/>

</Relationships>


현재는 php 페이지로 접속을 시도하였지만 제작자 의도에 따라 악성 파일로 수정될 수 있으며, 이와 유사한 위협으로 인한 피해를 예방하기 위해서는 사용자들의 각별한 주의가 필요합니다.


특히 해당 메일에는 100여 명의 수신자들이 등록되어 있고, 국내 유명 포털사이트, 대기업, 외국 계열 등 다수의 회사 메일들로 발송이 되었기 때문에 해당 기업들의 2차 정보 유출 피해도 우려되는 상황입니다.


현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 피싱사이트를 아래와 같이 탐지하고 있습니다.



[그림 3] ESTsecurity-Threat Inside 개인정보 수집 사이트 탐지 화면



현재 알약에서는 해당 악성코드에 대해 Trojan.xlsx.Phish로 탐지중에 있습니다.