[우리문화신문=이한영 기자] 안랩 ASEC 분석팀은 운송회사 ‘DHL’을 사칭한 악성 누리편지가 국내에 유포 중인 것을 확인하였다. 이 악성 누리편지는 배송 실패 관련 내용으로 위장, 사용자가 피싱 사이트에 접속하여 로그인 하도록 유도하고 계정 정보를 빼앗는다.
최근, 안랩 ASEC이 탐지한 DHL 사칭 악성 누리편지는 발신자가 ‘DHL Korea’며, 한국어를 쓴 점을 볼 때 국내 사용자를 대상으로 유포한 것임을 알 수 있다. 누리편지 본문에 첨부된 링크는 드롭박스(Dropbox) 링크로 연결되며, 악성 HTML 파일을 내려받도록 유도한다.
HTML 파일을 내려받아 실행하면, 배송 확인을 위해 누리편지, 비밀번호 등을 입력해 로그인을 유도하는 내용의 브라우저 알림창이 나타난다. 알림창이 닫히면 DHL을 사칭한 피싱 페이지의 로그인 화면을 마주하게 된다. 이 웹페이지에서 로그인을 진행하면 공격자 서버로 정보가 유출된다. 계정 정보를 공격자 서버로 전송한 뒤에는 송장 이미지를 포함하고 있는 페이지로 바로 연결되기 때문에 사용자는 계정 정보를 빼앗겼다는 것을 깨닫기 어렵다.
해당 악성 누리편지는 DHL의 이미지와 ‘배송 실패’, ‘배송 조회’ 등 일상에서 친숙하게 접하는 말들을 쓰기 때문에 사용자들이 피해를 볼 가능성이 크다. 또한, 최근 들어 배송뿐 아니라 여러 기업과 기관을 사칭하는 악성 누리편지 유포가 늘고 있어 누리편지에 관한 사용자들의 각별한 주의가 요구된다. 출처를 알 수 없는 누리편지를 받았을 때 쉽게 열어보지 말아야 하며 링크주소와 첨부파일 실행은 하지 말아야 한다.
현재 V3 제품에서는 악성 HTML 파일 내려받을 때 아래의 이미지와 진단명으로 탐지하고 있다.
[파일 진단]
Phishing/HTML.Generic.S1156 (2020.04.03.09)
DHL 사칭 악성 누리편지에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.
AhnLab ASEC 분석팀 제공
