모스(Morse)코드를 이용한 난독화 토토 가입 머니 공격 주의!!

​

최근발견된표적형토토 가입 머니메일에서모스(Morse)코드를이용한난독화토토 가입 머니메일이발견되어사용자들의주의가필요합니다.

이번에발견된메일은“ideafimitRevenue_payment_invoiceFebruary_Wednesday02032021”라는제목으로수신되었으며,Excel형태의견적서처럼보이는방식으로이름이생성된HTML파일이첨부되어있습니다.

사용자는견적확인을위해첨부된파일을다운로드하여실행할경우,수신자의계정과패스워드를가로채기위한피싱페이지가브라우저를통해연결됩니다.

첨부된 파일의 대한 정보는 다음과 같습니다.

사용자가토토 가입 머니페이지에계정과패스워드정보를입력할경우모두개인정보수집사이트로전송되며,이후패스워드가틀린것처럼보이는페이지를사용자에게보여줍니다.

이번에제작된토토 가입 머니페이지는이전과마찬가지로보안시스템의탐지를회피하기위해사용자가입력한정보들이전달하는서버주소를모스(Morse) 코드를이용하여난독화하였습니다.

모스(Morse) 토토 가입 머니로난독화된스크립들은특정함수를통해모스토토 가입 머니문자열들이16진수로디코딩되며,최종디코딩된스크립트토토 가입 머니는아래와같습니다.

< script type="text/javascript" src="hxxp://coollab[.]jp/dir/root/p/434.js"
< script type="text/javascript" src="hxxp://coollab[.]jp/dir/root/p/09908.js"

추가로연결된js파일들에는css정보와토토 가입 머니사이트에필요한구성요소들이담겨있습니다.

특히 09908.js 파일에는사용자가입력한개인정보를전송하는서버의주소가숨겨져있습니다.

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

현재이스트시큐리티‘쓰렛인사이드(ThreatInside)’에서는해당개인정보수집사이트를아래와같이탐지하고있습니다.