악성 링크가 포함된 이메일을 통해 기업 바카라 계정정보 탈취를 시도하는 공격 주의!

​

플랜트분야기업을대상으로피싱메일이발견되어기업들의각별한주의가요구됩니다.

이번에발견된이메일은RFQ(RequestForQuotationl)즉,제안견적요청서를위장하여플랜트분야기업담당자에게발송되었습니다.

​

[그림 1] 견적 요청서를 위장한 피싱 메일

특이한 점은, 보안 프로그램의 탐지를 우회하기 위하여 파일을 첨부하는 대신 링크를 첨부하여 바카라 클릭을 유도하였습니다.

바카라가 해당 링크를 클릭하면, MS One Drive를 위장한 페이지에 접속됩니다.

[그림 2] OneDrive를 위장한 피싱 페이지

바카라가 접속한 피싱 페이지는 실제 문서가 포함되어 있는 것처럼 보이는 미리보기 화면처럼 제작되어 있으며, 바카라가 첨부되어 있는 파일을 열람하기 위하여 클릭하면 로그인 창이 뜨며 로그인을 유도합니다.

​​

[그림 3] 로그인 창을 띄워 바카라 탈취 시도

바카라가 해당 로그인 창에 계정정보를 입력하면 네트워크 오류라는 창이 뜨며 재 입력을 요구합니다. 하지만, 백그라운드에서는 바카라가 입력한 정보를 C&C 서버로 전송합니다.

​​

[그림 4] 피싱 사이트 내 계정탈취 URL

사내 임직원들의 바카라 탈취를 시도하는 공격이 지속되고 있습니다.

바카라 탈취 시, 탈취한 바카라를 이용하여 인트라넷에 접속하여 추가적인 악성 행위를 할 수 있는 만큼, 기업 보안 담당자 여러분들께서는 임직원들을 대상으로 주기적인 보안인식교육을 통하여 임직원들의 보안의식을 향상시켜야 하겠습니다.

​