본문 바로가기

벌새::Analysis

Spam 이메일 : Your Amazon.com Order (D90-0225862-5335636) (2010.6.24)

최근 아마존닷컴(Amazon.com)에서 발송한 주문 관련 이메일로 위장한 가짜 Canadian Pharmacy 사이트 홍보 스팸이 이번에는 국내 co.kr 도메인을 이용하여 악성 iframe을 포함한 형태로 유포가 이루어지고 있는 것을 확인하였습니다.

● 제목 : Your Amazon.com Order (D90-0225862-5335636)

● 발신자 : Amazon.com


해당 이메일은 이전에 소개한 스팸 메일과 동일한 내용으로 구성되어 있으나, 해당 메일에 포함된 링크를 통한 특정 사이트 연결 URL 정보가 국내 co.kr 도메인으로 구성되어 있는 점이 특징입니다.

[링크를 통한 접속 경로]

h**p://son**.co.kr/index2.html
 - <iframe> h**p://topyop.magic-*******.com:8080/index.php?pid=10
 - <refresh> h**p://occur*****.com


해당 co.kr 사이트는 회원제 운영 방식의 개인 사이트이며, 사이트가 해킹되어 악의적으로 이용되고 있는 것으로 보입니다.


링크를 통해 접속을 시도할 경우 이전에 볼 수 있었던 iframe을 통한 악성 페이지 접근과 동시에 Canadian Pharmacy 사이트로 연결이 이루어지고 있습니다.

첨부 파일을 통한 방식이 보안 제품에서 진단을 통한 사전 차단을 하는 점을 우회할 목적으로 링크를 통한 직접 접속을 노리고 있으므로 해외에서 발송되는 이메일은 매우 주의하시기 바랍니다.