오늘은 김수키(Kimsuky)에서 만든 연세대학교 웹메일 피싱 사이트에 대해 알아보겠습니다. 일단 해당 피싱 사이트 주소만 보면 rfa(자유아시아방송, Radio Free Asia) 관련 되어져 있는 것을 확인할 수가 있습니다.
자유아시아방송은 미국 국제방송청에서 운영하는 방송사 및 이 방송사에서 운영하는 단파방송입니다.
피싱 사이트 주소
hxxps://rfa(.)lol/yonsei
101(.)36(.)114(.)91
정상적인 자유아시아방송은 org 입니다.
인증서 정보: Let's Encrypt
뭐~저는 피싱 사이트 라고 하고 있습니다.
일단 기본적으로 해당 피싱 사이트 에 접속을 하면 다음과 같은 화면을 볼 수가 있습니다.
여기서 물론 해당 화면엔 보는 것처럼 연세대학교 고객센터, 교내문의 전화는 정상적인 것을 당연히 표시해서 자신이 접속한 사이트가 피싱 사이트 인지 모르게 하게 하고 있습니다.여기서 아이디하고 비밀번호를 입력하면 다음과 같이 저장이 되는 것을 확인할 수가 있습니다.
hxxps://rfa(.)lol/yonsei/login(.)php이며 Raw 값은 다음과 같습니다.
POST /yonsei/login(.)php HTTP/1.1
Host: rfa(.)lol
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Origin: hxxps://rfa(.)lol
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Cookie: sidebarFix=Y
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0
Accept-Encoding: gzip, deflate
Content-Length: 58
username=rlawjddsmTLqtpRl&password=qkqdmsajrrhtksi&count=1그리고 웹소스를 보면 다음과 같이 돼 있는 것을 확인할 수가 있습니다.
$.ajax({
url: "./login(.)php" ,
method : "POST",
contentType:"application/x-www-form-urlencoded",
data: post_val,
async:false,
timeout:5000,
error:function(xhr, txt){
handle_login_result("..", "F_1", "로그인 <strong>1회</strong> 실패하였습니다.<br>로그인 5회 실패 시 로그인이 차단됩니다.");
return false;
},
success:function(data){
if(data.indexOf("Login Fail") >= 0)
{
//gbid("signInErrorDiv").hidden = false;
//alert("로그인 정보가 올바르지 않습니다.");
handle_login_result("..", "F_1", "로그인 <strong>1회</strong> 실패하였습니다.<br>로그인 5회 실패 시 로그인이 차단됩니다.");
//$("#errorMsg_login").show();
}else if(data.indexOf("http") >= 0)
{
location.replace(data);
//chk= false;
}
}
});
cnt++;
$("#frmlogin").attr("onsubmit", "return do_login();");
return false;
}코드 설명
AJAX 요청
입력이 올바르다면 post_val에 아이디, 비밀번호, 로그인 시도 횟수를 포함한 데이터를 조합하여 서버로 전송합니다.
서버 URL:/login(.)php
전송 방식: POST
타임아웃: 5초
에러 처리: AJAX 요청에 실패하면 handle_login_result를 호출해 로그인 실패 메시지를 표시합니다.
성공 처리: 서버에서 반환된 데이터에 "Login Fail"이 포함되면 로그인 실패로 처리하고, 실패 메시지를 표시합니다. 성공 시 데이터에 URL이 포함된 경우, 해당 URL로 리다이렉트됩니다.
실패 카운트 증가
로그인 시도 횟수인 cnt가 증가합니다. \
마지막으로 $("#frmlogin").attr("onsubmit", "return do_login();");로 onsubmit 이벤트를 복구하고 return false;로 폼 제출을 중단
코드는 비밀번호를 평문으로 전송하는 구조로 되어 있음
그리고 나서 구글 드라이브로 연결해서 질문지라는 한글 파일을 다운로드 그리고 해당 파일을 열어보면 다음과 같은 내용이 있습니다.
안녕하십니까?
자유아시아방송(RFA) 기자 ???입니다.
자유아시아방송에서 진행하는 서면 인터뷰에 참여해 주셔서 감사합니다.
본 인터뷰 내용을 기사 작성을 위한 것으로만 이용하며, 일반적인 지식과 통찰을 바탕으로 아래에 있는 질문에 대해 성실히 답변해 주시기 바랍니다.
<< 질 문 지 >
질문1. 미국 대선 결과가 한반도 안보에 미치는 잠재적 영향에 대해 어떻게 평가하십니까? 현재 대선 후보들이 제시한 대북 정책의 차별점은 무엇이며, 이 차이점이 한반도 안보에 어떤 영향을 미칠 수 있을까요?
질문2. 북한의 대선 무관 발언과 최근의 대남 전단 살포, 북러 밀착 등의 행동이 한미 동맹 및 한반도 안보에 미치는 잠재적 위협 요소는 무엇이라고 보십니까? 이러한 위협에 대응하기 위한 미국의 전략은 어떻게 변화해야 할까요?
질문3. 미국의 대북 정책이 대선 이후 어떤 방향으로 변화할 것으로 예상하십니까? 특히 북미 간의 협상 재개 또는 강화된 제재와 같은 구체적인 정책 변화가 있을 경우, 한반도 안보 상황에 어떤 영향을 미칠까요?
질문4. 북한의 대외 정책, 특히 북러 밀착이 향후 미국의 대북 정책과 어떤 관계를 형성할 것으로 보십니까? 이러한 변화가 한반도 및 북미 관계에 미치는 장기적인 영향은 무엇일까요?
질문5. 미국 대선과 대북 정책이 향후 한반도의 평화와 안정에 미치는 영향을 최소화하기 위한 국제사회의 역할은 무엇이라고 생각하십니까? 특히, 미국과 한국, 그리고 기타 주요 국가들이 어떻게 협력할 수 있을까요? 감사합니다.>
<끝>
연결 되는 구글 드라이브 주소
hxxps://drive.google(.)com/file/d/1bzZc9E(2)duPar724t3fjrq0r_dunf1fzC/view
2024-10-09 03:38:06 UTC 바이러스토탈에서 제공을 하고 있는 탐지 하는 보안 업체들은 다음과 같습니다.
Certego:Malicious
Seclookup:Malicious
즉 연세대학교 관련 개인정보 관련 부분과 관련이 있지 않을까 생각이 됩니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 파이어폭스 131.0.3 보안 업데이트 (0) | 2024.10.18 |
|---|---|
| 한국 관광을 핑계로 러시아 인들을 타겟을 하고 추정 되는 김수키(Kimsuky)만든 악성코드-241007.lnk(2024.10.14) (0) | 2024.10.17 |
| 김수키(Kimsuky) 코인 선물 트레이딩으로 위장 하고 있는 악성코드-코인 선물 트레이딩 비법서, 수익률 증폭의 핵심 원리.pdf.lnk(2024.10.14) (0) | 2024.10.14 |
| 북한 해킹 단체 Konni(코니) 만든것으로 추정이 되는 악성코드-국내코로나19재감염사례현황.pdf.lnk(2024.10.5) (0) | 2024.10.11 |
| 윈도우 10,윈도우 11 KB5044273 KB5044284 보안 업데이트 (0) | 2024.10.10 |
| 모질라 파이어폭스 131.0.2 적극적으로 악용되는 취약점 수정 (0) | 2024.10.10 |
| 마이크로소프트 워드 에서는 일부 문서를 저장하는 대신 삭제 (2) | 2024.10.10 |
| 아이폰 터치 스크린 문제 및 성능 문제 해결한 iOS 18.0.1 업데이트 (0) | 2024.10.09 |
