꿈을꾸는 파랑새

오늘은 교통범칙금 통지 문자 사칭해서 개인정보를 무단으로 수집하는 사이트인 gjyyutoeuc guru에 대해 글을 적어 보겠습니다. 일단 기본적인 악성코드 주소는 다음과 같이 작동을 합니다.
h@@p://gjyyu(.) toeuc.guru/(안드로이드 접속 시 피싱 사이트 연결)
컴퓨터로 접속시:h??ps://www(.)efine(.)go.kr/error/efineError404.do 로 이동을 해서
해당 정보를 찾을 수 없습니다
페이지에 오류가 있습니다
잠시 후 다시 시도해 주시기 바랍니다.
오류 표시
이라는 메시지를 볼 수가 있으면 일단 먼저 접속을 할 때 운영체제를 확인을 하는 것을 볼 수가 있었습니다. 즉 컴퓨터에서는 이파인으로 넘겨 버리고 안드로이드 같은 경우에는 본격적으로 피싱을 하기 위해서 피싱 사이트에서 정보를 입력하게 합니다.

교통범칙금 통지 문자 사칭 피싱 사이트


이 과정에서 공격자는 해당 스미싱 문자를 직접 수신한 핸드폰 번호가 아닐 경우 입력번호 오류 라는 메시지를 띄워 악성코드 앱 다운로드를 막으며. 즉 보안업체의 악성 앱 샘플 수집/진단 방해를 목적으로 공격자가 미리 확보해놓은 전화번호 DB를 활용해 일명 화이트리스트 방식의 악성 앱 유포를 시도한 것으로 추측을 할 수가 있습니다.

교통범칙금 통지 문자 사칭 피싱 사이트 입력 오류

그리고 3번의 입력 초과가 발생을 하면 피싱 사이트 웹소스를 열어보면 다음과 같이
form name="form11" method="post" action="XFxTbp(.)php" >->
SCRIPT
window.location='hXXps://www.checkupmoa(.)com/';

hXXps://www(.)checkupmoa(.)com 으로 접속을 하게 해 두었습니다. 그리고 해당 피싱 사이트가 사용을 하는 IP 주소는 다음과 같습니다.
IP Address:1(.)168.47.50
Reverse DNS:50(.)47.168.1.in-addr.arpa
Hostname:1-168-47-50(.)dynamic-ip.hinet.net

교통범칙금 통지 문자 사칭 피싱 사이트 웹소스

Nameservers:
ans2(.)hinet.net >> 168(.)95.1.15
ans3).)inet.tw >> 168(.)95.1.15
ans1(.)hinet.net >> 168(.)95.192.15
Location For an IP:1(.)168.47.50
Continent:Asia (AS)
Country:Taiwan
IP Location Find In Taiwan (TW)
Capital:Taipei
이번에는 대만 쪽에서 서버를 두고 피싱을 시도하는 것을 확인을 할 수가 있습니다. 일단 Google 세이프 브라우징, ESET 쪽에 피싱 사이트 신고를 했으니까. 최소 Google 세이프 브라우징 기술을 사용을 하는 구글 크롬, 파이어폭스 등에서는 Google 세이프 브라우징에서 피싱 사이트로 판단을 하면 해당 사이트를 차단을 할 것입니다. 기본적으로 저런 사이트들은 http 만 적용 즉 https 가 적용이 안되어져 있고 그리고 저런 피싱 방식을 CJ 택배, 건강검진 모아 등으로 오고 있으니 출처가 불분명한 문자메시지 내 URL은 실행하지 말고 성능 좋은 백신앱은 설치해서 사용을 하시는 것도 도움이 될 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band