인스타그램 DM 으로 유포 되는 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 분석

오늘은 북한 해킹 조직 김수키(Kimsuky) 에서 만든 피싱 사이트 에 대해 한번 오래간만에 분석을 해보겠습니다.
일단 해당 피싱 사이트는 네이버 로그인 화면으로 돼 있는 것이 특징입니다. 일단 예전같이 쓸데없게 만들어 놓은 것이 아니고 진짜와 비슷하게 구성이 돼 있는 것이 특징입니다.
특징은 인스타그램 DM 으로 네이버 계정 탈취 목적 김수키(Kimsuky)에서 만든 네이버 피싱 사이트 입니다.
hxxps://ncafe-article(.)media
입니다.
웹 소스를 보면 네이버 카페 : 너무 억울한 일을 당해 참다가... 이런 식으로 돼 있는데 해당 부분은 인스타그램 DM 으로 무작위로 아무에게나 뿌리는 것과 비슷합니다. 오래전부터 해 오던 수법
여기서 아이디 비밀번호를 입력하면 다음과 같은 경로로 전송되는 것을 볼 수가 있습니다.
hxxps://ncafe-article(.)media/api/login
일단 개인적으로는 그냥 김정은이 욕 좀 적으려고 하다가 참았음

네이버 피싱 화면

피싱 HTML 분석

네이버/네이버 카페로 속이는 피싱 페이지
핵심 로직은 외부 JS 파일인 ../assets/index-MQiTgOJp(.)js 안에 있음
1.구조
구조는 일반적인 React,Vite,SPA 기반 피싱 페이지 형태와 유사
HTML 자체는 거의 비어 있으며 실제 화면, 로그인 폼,버튼,입력값 수집,서버 전송 로직은 JavaScript가 실행되면서 동적으로 실행됩니다.
2.의심 포인트
<title>은 네이버 로그인으로 위장
브라우저 탭에 표시되는 제목을 네이버 : 로그인으로 설정.
정상 네이버 로그인 페이지처럼 보이게 하기 위한 위장 요소
description은 네이버 카페 글처럼 유도
네이버 카페 : 너무 억울한 일을 당해 참다가….

네이버 피싱 메일 웹소스

로그인 페이지 설명이라기보다 호기심을 유발하는 카페 게시글 제목에 가깝게 해서 사용자를 낚기 위한 목적
공격 유도
네이버 카페 글처럼 보이는 링크를 클릭
글을 보려면 로그인이 필요하다고 표시
네이버 로그인 창처럼 보이는 화면 노출
아이디, 비밀번호 입력
공격자 서버로 전송
Open Graph 메타데이터 분석
og:title:네이버 카페 글 제목처럼 보이게 함
og:description:실제 피해 사연 글처럼 보이게 함
og:image네이버 카페 이미지 또는 썸네일처럼 위장
og:type:일반 웹사이트로 보이게 함

네이버 피싱 메일 로그인

특히
네이버 카페 : 너무 억울한 일을 당해 참다가….
안녕하세요. 며칠을 고민하다가 결국 처음으로 글을 써….
감정 자극하는 것 즉 억울한 일, 처음으로 글을 써 같은 표현은 사용자의 호기심과 공감을 유도하게 해서 클릭->아이디, 비번 입력->いただきます
Twitter Card도 동일한 위장 목적
Twitter/X,일부 메신저,SNS 미리 보기에서도 동일한 네이버 카페 미끼가 표시되도록 구성되어 있음
즉 페이지는 브라우저에서만 위장하는 것이 아니라 링크 공유 단계부터 사용자를 속이도록 설계된 것이 특징
언어 설정 불일치
<html lang="en">
문서 언어는 영어로 설정되어 있는데 네이버는 한국어 ko
index-MQiTgOJp.js 분석
index-MQiTgOJp.js는 네이버 로그인 화면을 사칭하는 React 기반 피싱 프론트엔드 JS
중요한 악성 행위는 사용자가 입력한 정보를 아래 API로 전송 부분
POST /api/login
POST /api/login-vip
POST /api/login-nid

index-MQiTgOJp 자바스크립트 코드

전송되는 구조

userId:사용자가 입력한 아이디 또는 전화번호
password:사용자가 입력한 비밀번호
sessionId:랜덤 세션 ID
ref:URL의 ref 파라미터
전송 방식
사용자가 아이디 입력->userId 상태 값에 저장->사용자가 비밀번호 입력->password 상태값에 저장->로그인 버튼 클릭->submit 이벤트 발생->c.mutate(e)->mutationFn 실행->ref 파라미터 추출->sessionId 추가->mu("POST", "/api/login*", 데이터)->fetch() 실행->서버로 JSON 전송
이런 방식으로 동작합니다. 이런 것이 어려우면 간단하게 HTTP Debugger Pro 로 보면 쉽게 확인을 할 수가 있습니다.
userId:asdsadasd->사용자가 입력한 아이디,전화번호
password:asdsadasdasdas->사용자가 입력한 비밀번호
sessionId:y15hvqd4smotfyrmo->피싱 페이지가 생성한 세션 식별자
ref null:URL에 ?ref= 값이 없어서 null
OS:Windows 10,Windows 11 계열
브라우저:Microsoft Edge
엔진:Chromium
플랫폼:Desktop
모바일 여부:sec-ch-ua-mobile: ?0->PC
인것을 확인을 할 수가 있습니다.

네이버 아이디 비빌번호 전송 자바스크립트

결론:ncafe-article(.)media/view/482915에서 입력된 userId/password를 ncafe-article(.)media/api/login으로 전송한 피싱 계정 수집 요청
즉: 네이버 아이디,네이버 비밀번호 탈취 목적 인것을 쉽게 확인 가능합니다.피싱 안 당하려면 주소 잘 보시고 인증서가 국가
KR
시/도
Gyeonggi-do
구/군/시
Seongnam-si
조직
NAVER Corporation

네이버 공식 로그인 화면

일반 이름
naver(.0com
발급자 이름
국가
US
조직
DigiCert Inc
인 것을 확인하면 쉽게 확인할 수 있습니다.