울지않는벌새 : Security, Movie & Society

Spam 이메일 : Payment request from (2010.7.13)

벌새::Analysis
6월경부터 꾸준하게 국내로 유입되고 있는 htm(html) 첨부 파일을 동봉한 해외 악성 스팸(Spam) 이메일이 이번에는 이베이(eBay)에서 발송한 것으로 위장하여 유포되고 있는 것이 국내에서 확인 되었습니다.

● 제목 : Payment request from

● 첨부 파일 : form.html

We recorded a payment request from "eBay" to enable the charge of $666.10 on your account.

The payment is pending for the moment.

If you made this transaction or if you just authorize this payment, please ignore or remove this email message. The transaction will be shown on your monthly statement as "eBay".

If you didn't make this payment and would like to decline it, please download and install the transaction inspector module (attached to this letter).

이번 첨부 파일 내부에는 기존에 보이던 스크립트 난독화가 존재하지 않으며 메타 태그(Meta Tag)를 이용하여 특정 페이지로 이동을 하도록만 구성되어 있습니다.(①번)


[form.html 연결 정보]

h**p://www.cow-****.nl/index4.html
 - <refresh> h**p://knew****.com
 - <iframe> hp://chain****.ru:8080/index.php?pid=10

이동된 페이지에서는 refresh를 이용한 가짜 Canadian Pharmacy 사이트로 이동을 하며, 추가적으로 iframe을 이용한 악성 사이트 연결을 시도하고 있습니다.

만약 특정 보안 취약점에 노출된 시스템이나 특정 시간대에서는 악성 프로그램이 설치될 수 있으므로 해외에서 수신되는 이메일 중 htm(html) 첨부 파일을 포함한 경우에는 절대로 열지 않도록 주의하시기 바랍니다.