견적 요청 betman 토토 위장한 피싱 메일 유포중
최근 견적 요청 betman 토토 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다
이번에 발견된 betman 토토은 “betman 토토요청”이라는 제목으로 전파되었으며, 특정 betman 토토에서 발송한 것처럼 사용자를 속여 메일에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다.
[그림 1] 견적 요청 betman 토토 위장한 피싱 메일
사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 개인 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다.
- 개인정보 수집 사이트 hxxps://man2deliserdang.sch.id/xel/view.php - 개인정보 수집 서버 IP 192.95.16.12 |
[그림 2] 외부 사이트 링크가 포함된 엑셀 파일
해당 첨부파일 문서 실행 시 외부 External 주소에 접속하여 통신을 시도합니다.
<?xml version="1.0" encoding="utf-8" standalone="yes"? <Relationships xmlns="hxxp://schemas.openxmlformats.org/package/2006/relationships" <Relationship Id="rId2" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="../media/image1.png"/ <Relationship Id="rId1" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="hxxps://www.techniperu[.]com/g/index.php" TargetMode="External"/ </Relationships |
현재는 php 페이지로 접속을 시도하였지만 제작자 의도에 따라 악성 파일로 수정될 수 있으며, 이와 유사한 위협으로 인한 피해를 예방하기 위해서는 사용자들의 각별한 주의가 필요합니다.
특히 해당 메일에는 100여 명의 수신자들이 등록되어 있고, 국내 유명 포털사이트, 대betman 토토, 외국 계열 등 다수의 회사 메일들로 발송이 되었기 때문에 해당 betman 토토들의 2차 정보 유출 피해도 우려되는 상황입니다.
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 피싱사이트를 아래와 같이 탐지하고 있습니다.
[그림 3] 토토 커뮤니티-Threat Inside 개인정보 수집 사이트 탐지 화면
현재 알약에서는 해당 악성코드에 대해 Trojan.xlsx.Phish로 탐지중에 있습니다.
