울지않는벌새 : Security, Movie & Society

Spam 이메일 : Your Fedreal Tax Payment ID: (Random 10자리 숫자) has been rejected.

벌새::Analysis
미국 전자 연방 세금 지불 시스템 EFTPS(Electronic Federal Tax Payment System) 사이트에서 발송한 것으로 위장한 피싱(Phishing) 이메일을 통해 특정 보안 취약점이 취약한 시스템이 제공되는 악성 URL 링크를 통해 접근시 감염을 유발하는 스팸 이메일이 국내에 유입되었으므로 주의가 요구됩니다.

1. 제목 : Your Federal Tax Payment ID 0103578461 is rejected. Urgent Report.

[접근 경로]

h**p://eftps.gov/R21
 ㄴ h**ps://www.eftps.gov : 이메일 외부 공개 도메인
 ㄴ <refresh> h**p://*****-fantasy-****-cheats.com/red.html : 실제 접속 도메인
   ㄴ <iframe> h**p://eftpsid*******.ru/contacts/s3

첫 번째 사례의 경우, 이메일 상에서 제시되는 URL 정보는 정상적인 EFTPS 사이트 도메인으로 구성되어 있지만 실제 접속을 시도할 경우에는 red.html 사이트로 납치하여 악성 iframe이 추가되어 있는 것을 확인할 수 있습니다.


실제 사용자 웹 브라우저 화면에서는 그림과 같은 e44 폼(Form) 형태의 문자만 제시되지만 일정 시간이 경과할 경우 사용자 시스템의 보안 취약점이 존재할 경우 감염이 발생할 수 있습니다.

현재 테스트 시점에서는 해당 경로를 통한 접근시 차단되어 더 이상 감염이 유발되지 않고 있는 것으로 보입니다.

2. 제목 : Your Fedreal Tax Payment ID: 0103636607 has been rejected.

[접근 경로]

h**p://eftps.gov/R21
 ㄴ h**ps://www.eftps.gov : 이메일 외부 공개 도메인
 ㄴ<refresh> h**p://members.********.com.au/~nathandenny/red7.html : 실제 접속 도메인
   ㄴ<iframe> h**p://eftpsid*******.ru/contacts/s3
   ㄴ<script> h**p://cape******.com/files/jopf/mail_p002_8_00.php

두 번째 사례는 실제 감염이 발생하는 악성 스크립트가 확인된 경우로 위와 동일한 방식으로 납치가 이루어지며 최종적으로 AVG 보안 제품에서는 JS/Agent (VirusTotal : 5/43) 진단명으로 진단되는 악성 스크립트를 확인할 수 있습니다.

해당 스크립트에서는 Java applete, Adobe PDF, Adobe Flash Player 취약점이 존재하는 시스템의 경우 자동으로 시스템 감염을 유발할 수 있는 것으로 확인이 되므로 해당 응용 프로그램이 설치된 시스템에서는 반드시 최신 버전으로 업데이트를 하시는 것이 사전에 감염을 예방할 수 있습니다.

이처럼 이메일 상에서 외형적으로 제시되는 URL 정보는 절대로 신뢰하지 마시기 바라며, 이메일 링크를 클릭하기 전에 해당 링크를 복사하여 실제로 접속되는 URL 주소를 먼저 확인하는 습관도 중요하다고 생각합니다.