최근 국내 기업을 사칭한 HTM 파일이 첨부된 악성 메일을 유포하는 공격이 다음(Daum) 계정 외에 네이버(Naver)까지 함께 포함되어 있는 사례가 확인되어 추가적으로 확인해보도록 하겠습니다.
"FW: HE-201 관련 견적서 송부건" 제목으로 수신된 메일에는 3개의 첨부 파일이 포함되어 있으며, 메일 내용에서는 국내 기업 및 개인 정보를 사칭한 내용이 포함되어 있습니다.
1. HE-201 관련 견적서 송부건.htm
▷ HTM 첨부 파일을 이용한 Daum 계정 탈취 피싱 메일 주의 (2020.10.27)
첨부된 HTM 파일(SHA-1 : f4461a35bb83686d48b7586fd7bd0298a678176c - ESET : HTML/Phishing.Agent.ASL)은 10월 하순경 소개한 첨부 파일과 동일합니다.
2. HE-201 관련 견적서 송부건 (2).zip
ZIP 압축 파일 형태로 첨부된 파일 내부에는 New Order Estimate.htm 파일(= HE-201 관련 견적서 송부건.htm)로 1번 첨부 파일과 동일하며 파일명만 변경되어 있습니다.
3. HE-201 관련 견적서 송부건 N.zip
또 다른 견적서 송부건 관련 ZIP 압축 파일에는 Estimate.htm 파일(SHA-1 : bcbfde0667951c5f8b86de461bc701a0f887d552)이 포함되어 있으며, 실행 시 가짜 네이버(Naver) 로그인 페이지가 노출됩니다.
https://hongkmalls.info/naver-special.php (198.50.160.198:443)
사용자가 네이버 로그인을 위해 아이디(ID)와 비밀번호를 입력하여 로그인을 시도할 경우 관련 정보가 외부 서버로 전송되는 것을 확인할 수 있으며, 이후 자동으로 특정 Google 드라이브에 위치한 문서를 오픈하도록 연결을 시도합니다.
하지만 테스트 당시에는 이미 Google 드라이브에 저장되어 있던 문서는 삭제 처리되어 정상적으로 노출되지는 않고 있습니다.
그러므로 메일 첨부 파일로 HTM, HTML 문서 파일을 열도록 유도한 후 실행 시 로그인 페이지가 나온다면 100% 피싱(Phishing) 악성 파일이므로 계정 정보를 입력하여 외부로 유출되는 일이 없도록 사용자가 각별히 주의하시기 바랍니다.