발주서 파일로 위장한 “NAVER WORKS” 피싱betman 토토 주의!
최근발주서파일로위장하여“NAVERWORKS(네이버 웍스)”계정 탈취를목적으로발송되는피싱 betman 토토이발견되어사용자들의주의가필요합니다.
이번에발견된betman 토토은“[플***]-(발주서송부의건)”라는제목으로수신되었으며,특정업체명을도용해실제betman 토토에서발송한것처럼위장했습니다.
사용자가betman 토토에포함된첨부파일을실행하면사용자정보를탈취하는전형적인“스피어betman 토토”방식입니다.
사용자가발주서내용확인을위해첨부된파일을다운로드하여실행할경우,브라우저를통해“NAVERWORKS”계정과패스워드를가로채기위한피싱페이지로연결됩니다.
첨부된 파일의 대한 정보는 다음과 같습니다.
첨부 파일명 | 알약 탐지명 |
[플***] - (발주서 송부의 건).html | Trojan.HTML.Phish |
이betman 토토을통해유포된피싱사이트의이전유형들의경우,첨부파일실행시나타나는피싱사이트에사용자가정보를입력하면개인정보수집사이트로바로이동하는방식이대다수였습니다.
그러나이번에발견된피싱사이트는사용자가로그인을위해이betman 토토을등록하면계정과패스워드정보입력을위한실제피싱사이트로사용자를이동시키는방식으로두단계에걸쳐진행됩니다.
사용자가입력한NAVERWORKS로그인정보는아래공격자서버로전달됩니다.
- 개인 정보 수집 사이트
hxxps://lukesbeautysalon[.]com/style/design/pkan/login.php
- 개인정보 전달 서버 IP
86.104.15.60
개인정보가전달된후에는실제"NAVERWORKS로그인"페이지로리디렉션됩니다.
현재이스트시큐리티‘쓰렛인사이드(ThreatInside)’에서는해당betman 토토사이트를아래와같이탐지하고있습니다.
