긴급 주문 엑셀파일로 위장된 기업 표적 실시간-바카라사이트 주의!!

최근 기업 담당자의 계정을 노리는 실시간-바카라사이트 메일들이 발견되고 있어 기업 담당자들의 주의가 필요합니다.

이번에 발견된 실시간-바카라사이트은 “Urgent order”라는 제목으로 수신되었으며 긴급하게 주문을 넣었으니 첨부된 파일을 확인하라는 내용으로 사용자의 클릭을 유도하여 실시간-바카라사이트 담당자의 계정을 탈취하기 위한 목적으로 발송되었습니다.

[그림1] 특정 기업 담당자 계정 탈취를 위한 실시간-바카라사이트 공격 이메일 화면

사용자가 긴급하게 들어온 주문을 확인하기 위해 첨부 된 파일을 다운로드하여 실행 할 경우 계정과 패스워드를 가로채기 위한 피싱 페이지가 브라우저로 연결됩니다.

[그림2] 브라우저로 동작 된 실시간-바카라사이트 페이지 화면

사용자가 피싱 페이지에 기업 계정과 패스워드를 입력할 경우 모두 개인 정보 수집 사이트로 입력된 개인 정보가 전송됩니다.

개인 정보 항목이 모두 전달된 후에는 첨부 파일 실행 시 브라우저로 동작했던 페이지와 동일하게 제작된 사이트로 이동하여 실제 로그인 동작이 되는 것처럼 사용자를 속이게 됩니다.

[그림3] 사용자를 속이기 위한 추가 사이트 화면

전송된 개인 정보 항목과 도메인 정보를 상세히 살펴보면 다음과 같습니다.

개인 정보 피싱 및 수집 사이트 상세 정보

해당 기업 담당자를 노리는 실시간-바카라사이트 메일이9월 21일 2건 추가로 발견되었습니다.

추가된 첨부파일은 난독화 되어있었으며 개인 정보 수집 URL이 변경되었습니다.

복호화 후의 첨부파일은 기존과 매우 유사한 구조를 가지고 있었습니다.

[그림4] 난독화 된 첨부파일 화면

추가 발견된 실시간-바카라사이트과 괸 련 된 도메인 정보는 다음과 같습니다.

최근 코로나19로 인해 재택근무를 하는 경우가 많아져 메일로 업무를 주고받는 경우가 빈번하기 때문에 기업 메일을 담당하는 담당자들은 항상 실시간-바카라사이트과 악성메일에 대해 주의해야 하며, 의심되는 메일은 사내 보안 담당자에게 전달하여 피해가 확산되지 않도록 조치하는 것이 중요합니다.

또한 사내 보안팀에서도 실시간-바카라사이트 메일 훈련 및 보안 교육을 활성화하고 임직원들의 보안 의식 함양을 높이기 위한 노력이 필요합니다.

현재 이스트시큐리티 ‘쓰렛 인사이드(Threat Inside)’에서는 해당 개인 정보 수집 사이트를 아래와 같이 탐지하고 있습니다.

[그림5] 바카라 사이트-Threat Inside 개인정보 수집 사이트 탐지 화면