페덱스(FedEx) 운송 송장으로 위장을 하고 있는 피싱 메일 분석

오늘은 페덱스(FedEx) 운송 송장으로 위장하는 피싱(Phishing) 메일 분석을 해보겠습니다. 해당 피싱 메일은 페덱스(FedEx) 운송 송장으로 위장하고 있지만 KSD(한국예탁결제원) 관계자를 대상으로 하는 피싱으로 추정이 됩니다.
내용은 다음과 같습니다.
FedEx Billing Online에 5013(으)로 끝나는 고객번호에 청구된 다음과 같은 청구서가 있습니다.
청구서 번호 청구 날짜 청구 금액 결제 기한 
953482104 2026년 2월 19일 331,070.00 KRW 2026년 3월 21일 
미결제 청구서에 대한 납부를 위해 FedEx Billing Online 웹사이트에 접속해주십시오.
이라고 돼 있는 것이 특징입니다.

페덱스 위장 피싱 메일

피싱 메일 분석

이메일을 보면 FedEx Billing Online처럼 보이지만 실제 이메일 주소
sy(.)yooon@sungho(.)net 
페덱스 공식 도메인을 사용하지 않고
메일은 sungho(.)net 사용
실제 발신 IP
141(.)164(.)57(.)55->AS 20473(AS-VULTR)
추가로 중간 릴레이 서버
222(.)231(.)25(.)51

피싱 메일 헤더

수신 주소:
???@ksd(.)or(.0kr
도메인:
ksd(.)or(.)kr
한국예탁결제원(KSD) 
즉:금융기관을 노린 스피어 피싱 가능성을 생각해 볼 수가 있었습니다.
qmail 1.03은 유닉스/리눅스 기반 운영체제에서 메일을 전송하는 데 사용되는 MTA(Mail Transfer Agent) 소프트웨어를 사용한 것을 볼 수가 있음
fedEx 사칭

피싱 사이트 메인화면

실제 FedEx 도메인 아님
발신 IP 불일치
의심스러운 릴레이 경로
금융기관 대상 메일
일단 페이지 접속시 화면
피싱 사이트 접속을 하면 미리 입력이 된 아이디를 확인할 수가 있으며 특정 관련자를 겨냥한 것이 아닐까? 생각이 됩니다.
인증서는 무료 인증서인 Let's Encrypt를 사용

피싱 사이트 웹소스

웹 소스 분석

사용자가 입력한 이메일, 비밀번호 수집
피해자의 IP, 브라우저, 타임존, User-Agent까지 같이 수집
수집한 내용을 Telegram Bot API로 전송
첫 로그인 시도에는 가짜 오류 메시지
두 번째 시도에는 원래 사이트로 리다이렉트
1.IP 주소 수집
외부 서비스로부터 피해자 IP를 받아 n(.)ipAddress 에 저장
실패하면 Unavailable 로 대체
단순 계정정보뿐 아니라 접속지 IP도 같이 확보
2.폼 제출 가로채기
사용자가 로그인 버튼을 눌렀을 때
브라우저의 정상 제출을 막고
공격자가 원하는 로직을 먼저 수행

HTTP Debugger Pro 로 본 트래픽 내용

3. 제출 횟수 추적
첫 번째 입력인지
두 번째 입력인지 구분
4. 탈취 메시지 생성
사용자가 입력한:
이메일
비밀번호를 문자열로 묶는 역할
✅🤑💳💶 Omo Na Wire O 💶💳🤑✅
를 사용을 해서 공격자가 텔레그램에서 식별하기 쉽게 넣어둔 운영자 식별 문구로 추정
5. 추가 환경정보 수집
IP Address
User Agent
Timezone
Browser
6. 텔레그램으로 유출
탈취한 정보를 Telegram Bot API의 sendMessage 로 특정 chat_id 에 전송
텔레그램 채팅으로 실시간 전송하는 구조
전형적인 페덱스, DHL 같은 송장으로 위조해서 피싱 메일을 배포하는 고전적인 방식을 사용하고 있음