견적 요청 betman 토토 위장한 피싱 메일 유포중
최근 견적 요청 betman 토토 위장한 피싱 메일이 유포되고 있어 사용자들의 주의가 필요합니다
이번에 발견된 betman 토토은 “betman 토토요청”이라는 제목으로 전파되었으며, 특정 기업에서 발송한 것처럼 사용자를 속여 betman 토토에 포함된 첨부파일 “Purchase order.xlsx”의 클릭을 유도하고 있습니다.
[그림 1] 견적 요청 betman 토토 위장한 피싱 메일
사용자가 피싱메일에 첨부된 파일을 다운로드하여 실행할 경우, MS Office 엑셀파일이 오픈되며 전체 파일 내용 확인을 위해 본문에 포함된 링크를 클릭 할 경우 betman 토토 정보 탈취를 목적으로 제작된 외부 사이트로 이동 합니다.
- betman 토토정보 수집 사이트 hxxps://man2deliserdang.sch.id/xel/view.php - betman 토토정보 수집 서버 IP 192.95.16.12 |
[그림 2] 외부 사이트 링크가 포함된 엑셀 파일
해당 첨부파일 문서 실행 시 외부 External 주소에 접속하여 통신을 시도합니다.
<?xml version="1.0" encoding="utf-8" standalone="yes"? <Relationships xmlns="hxxp://schemas.openxmlformats.org/package/2006/relationships" <Relationship Id="rId2" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/image" Target="../media/image1.png"/ <Relationship Id="rId1" Type="hxxp://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="hxxps://www.techniperu[.]com/g/index.php" TargetMode="External"/ </Relationships |
현재는 php 페이지로 접속을 시도하였지만 제작자 의도에 따라 악성 파일로 수정될 수 있으며, 이와 유사한 위협으로 인한 피해를 예방하기 위해서는 사용자들의 각별한 주의가 필요합니다.
특히 해당 betman 토토에는 100여 명의 수신자들이 등록되어 있고, 국내 유명 포털사이트, 대기업, 외국 계열 등 다수의 회사 betman 토토들로 발송이 되었기 때문에 해당 기업들의 2차 정보 유출 피해도 우려되는 상황입니다.
현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 betman 토토 정보 피싱사이트를 아래와 같이 탐지하고 있습니다.
[그림 3] 토토 커뮤니티-Threat Inside betman 토토정보 수집 사이트 탐지 화면
현재 알약에서는 해당 악성코드에 대해 Trojan.xlsx.Phish로 탐지중에 있습니다.
