오늘은 피싱(Phishing) 메일을 통해서 가짜 YouTube(유튜브)로 연결되게 설정이 돼 있는 낚시 메일에 대해 분석을 해보겠습니다.
해당 피싱 메일 해쉬
파일명:11.eml
사이즈:65,662 Bytes
MD5:22c3f4bdd48227f846774a0198291843
SHA-1:202de930ba98ca1371701e3b5c753250251ba1d5
SHA-256:9b196220b369c199a7e4d57cb5db18b32eb2565a6f9190929c5c01ac4fa04ac8
이메일 내용
You don't often get email from kkundlas@shieldmedicalgroup(.)com. Learn why this is important
Ross Stores Inc
Your document is ready for heidi.bjerke@esmartsystems(.)com
VIEW COMPLETED DOCUMENT
Confidential information intended only for the use of the individual or entity named above. If you have received this as error, please notify the sender
구글 번역기 통한 이메일 내용
kkundlas@shieldmedicalgroup(.)com에서 이메일을 받는 일은 흔하지 않습니다. 이것이 중요한 이유 알아보기
Ross Stores Inc
문서가 heidi.bjerke@esmartsystems(.)com으로 전송될 준비가 되었습니다.
완료된 문서 보기
위에 명시된 개인 또는 단체에서만 사용하도록 의도된 기밀 정보입니다. 오류로 수신된 경우 발신자에게 알려주십시오.
돼 있습니다.
이메일 헤더 내용
1. 송신 경로 분석 (Received 헤더 분석)
발신 IP:173(.)195(.)100(.)155 (미국)
보호 서버: 40(.)107(.)212(.)104 (미국)
Microsoft SMTP relay 서버:다양한 IPv6 주소 사용
최종 수신 서버:2603(:)10a6(:)20b(:)364(:):24
발신 서버 173(.)195(.)100.155는 SPF(Sender Policy Framework) 검사에서 실패(Fail)
IP가 shieldmedicalgroup(.)com 도메인의 승인된 발신자가 아님
Microsoft의 보호 시스템(40(.)107(.)212(.)104)에서는 SPF 통과(Pass) 되었으므로 이메일이 정당한 것처럼 보일 수 있음
2. 인증 결과 분석 (SPF, DKIM, DMARC) |
문제점:
SPF 실패는 이메일 스푸핑(사칭)
DKIM 서명은 통과 서명된 도메인이 shieldmedicalgroup(.)onmicrosoft(.)com 으로, 실제 발신 도메인과 차이가 있음
DMARC 정책이 none 상태로 되어 있어 정책 강제 적용이 이루어지지 않음
3. ARC (Authenticated Received Chain) 분석
RC 검증 결과:통과(pass)
cv=pass 값이 포함되어 있어 메일이 도착 시점까지 변조되지 않았음을 의미
ARC가 통과되었지만, SPF가 실패했으므로 조작 가능성 높음
4. 발신자 도메인 확인 및 위협 인텔리전스 분석
shieldmedicalgroup(.)com 도메인은 정상적인 의료 관련 도메인으로 보이지만 SPF 설정이 올바르게 적용되지 않았거나 공격자가 스푸핑하여 발송
5. 이메일 우선순위 및 악성 코드 가능성
이메일이 고우선순위(X-Priority: 1) 및 High Importance로 설정됨->사회공학적 공격(긴급성 강조 기법) 의심하게 하는 행동 함
MIME 유형이 multipart/mixed로 설정
Content-Transfer-Encoding:7bit로 설정->텍스트만 포함 가능성이 있음
그리고 CyberChef로 요리를 잘하면 가짜로 만든 유튜브 계정을 확인할 수가 있습니다.
hxxps://youtubecom@l(o)pezc=astrocomar/well-kno(w)n/Reminder/1cod(l)28bkshu6wt6isprn58d/aGVpZGkuYmplcmtlQ=G(V)zbWFydHN5c3RlbXMuY29t
이렇게 피싱 메일을 날려서 가짜로 만든 유튜브 계정을 통해서 무엇을 할 것 같은데 私見이지만 아마도 투자 사기 같은 것 할 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 삼성 갤럭시 S24,삼성 갤럭시 S23(Galaxy S24/S23 Explain) 타겟으로 하는 취약점 CVE-2024-49415 (0) | 2025.01.31 |
|---|---|
| 김수키(Kimsuky)로 추정이 되는 카카오 고객센터 피싱 메일(2024.12.16) (0) | 2025.01.31 |
| Kimsuky(김수키) 로 추측이 되는 부가가치세 확정신고 납부 통지서 피싱 메일 분석(2025.1.20) (0) | 2025.01.30 |
| 딥씨크(DeepSeek) 개인정보,기기,폰번호 등 수집 및 중국 서버 저장 (0) | 2025.01.29 |
| 북한 해킹 단체 Konni APT(Advanced Persistant Threat) 만든 악성코드-오류발견 수정신고 제출 요청 안내(국세징수법 시행규칙).hwp.lnk(2025.1.7) (0) | 2025.01.24 |
| 트럼프 틱톡 미국 구매자를 찾는 기한을 틱톡금지법 90일간 유예 (0) | 2025.01.23 |
| Kimsuky(김수키)에서 만든 공적조서(개인,양식)로 위장한 악성코드 (0) | 2025.01.21 |
| 윈도우 10 KB5049981,윈도우 11 KB5050009 & KB5050021 보안 업데이트 (0) | 2025.01.16 |
