오늘은 마이크로소프트 기술 센터 스캠 사이트에 대해 글을 적어 보겠습니다. 해당 사이트는 프랑스 인들을 타겟으로 하는 스캠 사이트입니다. 스캠(Scam) 이라고 생각을 하면 쉽게 사용자를 속이는 신용 사기 정도로 이해하시면 됩니다.
그냥 쉽게 이야기하면 웹사이트에 접속하면 너~악성코드 감염이 되었다. 그러니 이렇게 하면 연락을 하면 기술 지원을 해줄 것이다. 이런 식으로 돼 있고 그리고 제일 중요한 것은 마지막에 돈을 요구하는 것으로 결론으로 될 것입니다.
유포되는 주소는 다음과 같습니다.
http://zerotrf(.)store/error
일단 해당 사이트에 접속하면 갑자기 윈도우 시큐리티 화면이 실행되면 악성코드 검사가 되고 그리고 악성코드 발견이 되었다. 하면서 경고 화면을 표시할 것입니다. 일단 내용은 다음과 같습니다.
Centre de sécurité Windows Defender
App: Ads.fiancetrack(2).dll
Threat Detected: Trojan Spyware
'accès à ce PC a été bloqué pour des raisons de sécurité.
Contacter l'assistance Windows: 09 70 50 12 35
(Windows Defender Security Center
앱 : ads.fancetrack (2) .dll
위협이 저하 : 트로이 스파이웨어
'보안상의 이유로이 PC에 대한 액세스가 차단되었습니다.
Windows Assistance에 문의하십시오 : 09 70 50 12 35)있고 어떤 것을 눌러도 동작을 하지 않은 것을 볼 수가 있습니다. 그리고 메인 화면에 나오는 메시지를 다음과 같습니다.
L'accès à cet ordinateur a été bloqué pour des raisons de sécurité. Ne pas accéder ou redémarrer cet ordinateur. Ignorer cet avertissement critique peut entraîner la perte de données sur ce système. Veuillez contacter le suppo
(보안상의 이유로 이 컴퓨터에 대한 액세스가 차단되었습니다. 이 컴퓨터에 액세스 하거나 다시 시작하지 마십시오. 이 중요한 경고를 무시하면 이 시스템의 데이터가 손실될 수 있습니다. 지원팀에 문의하세요.)
한마디로 너~마음대로 하면 컴퓨터에 있는 파일에 손상될 수가 있다는 내용입니다.
그리고 해당 웹 소스를 열어 보면 다음과 같이 이미지들은 Base64 img로 처리가 된 것을 볼 수가 있습니다.
이미지를 Base64인코딩 방식을 사용하는 경우에는 다음과 같습니다.
크기가 작은 이미지를 이미지 파일 없이 html에 만들어 넣기
간단한 페이지를 작성해 임시로 이미지를 사용하는 경우
메일을 html으로 작성해서 보내는 경우
<img src="data:image/<이미지확장자>;base64,<data코드>")
로 된 부분이 Base64인코딩 방식을 사용한 부분이며 기타 바탕화면이 되는 부분이 되는 주소는 다음과 같습니다.
https://i.imgur(.)com/GsE7w8v.jpg
https://i.imgur(.)com/tZ7HPCN.jpg
파란색으로 화면이 된 글자는 다음과 같습니다.
<p>** L'ACCÈS À CE PC A ÉTÉ BLOQUÉ POUR DES RAISONS DE SÉCURITÉ **</p>
<p>Votre ordinateur nous a alerté qu'il a été infecté par un Trojan Spyware. Les données suivantes ont été compromises.</p>
<p>> Identifiants de messagerie<br>
> Mots de passe bancaires<br>
> Identifiant Facebook<br>
> Des photos & Documents
</p>
<p>Windows-Defender Scan a trouvé sur cet appareil des logiciels publicitaires potentiellement indésirables qui peuvent voler vos mots de passe, votre identité en ligne, vos informations financières, vos fichiers personnels, vos photos ou vos documents.</p>
<p>Vous devez nous contacter immédiatement afin que nos ingénieurs puissent vous guider tout au long du processus de suppression par téléphone..</p>
<p>Appelez immédiatement le support Windows pour signaler cette menace, empêcher le vol d'identité et déverrouiller l'accès à cet appareil.</p>
<p>La fermeture de cette fenêtre mettra vos informations personnelles en danger et entraînera la suspension de votre enregistrement Windows.</p>
<p style="padding-bottom: 0px; color:#fff; font-size:14px;">
Appelez l'assistance Windows:
<strong>
09 70 50 12 35 </strong>
</p>이며 해당 프랑스 어를 한국어로 번역하면 다음과 같습니다.
Windows-Defender Scan a trouvé sur cet appareil des logiciels publicitaires potentiellement indésirables qui peuvent voler vos mots de passe, votre identité en ligne, vos informations financières, vos fichiers personnels, vos photos ou vos documents.
Vous devez nous contacter immédiatement afin que nos ingénieurs puissent vous guider tout au long du processus de suppression par téléphone..
Appelez immédiatement le support Windows pour signaler cette menace, empêcher le vol d'identité et déverrouiller l'accès à cet appareil.
La fermeture de cette fenêtre mettra vos informations personnelles en danger et entraînera la suspension de votre enregistrement Windows.
Appelez l'assistance Windows:
09 70 50 12 35
(Windows-Defender Scan 은이 장치에서 비밀번호, 온라인 신원, 재무 정보, 개인 파일, 사진 또는 문서를 훔칠 수 있는 잠재적으로 원치 않는 광고 소프트웨어를 발견했습니다.
엔지니어가 전화로 삭제 프로세스 전체에서 귀하를 안내할 수 있도록 즉시 저희에게 연락해야 합니다.
즉시 Windows 지원에 전화 하며 위협을 보고하고 신원 도용을 방지 하며 이 장치에 대한 액세스를 잠금 해제하십시오.
이 창의 폐쇄는 귀하의 개인 정보를 위험에 빠뜨릴 것이며 Windows 녹음이 중단됩니다.
Windows 지원 전화 :
09 70 50 12 35)물론 해당 전화번호는 마이크로소프트 공식 기술 지원센터 전화번호가 아니 사기범에게 전화를 거는 전화번호입니다.
MP3 파일은 다음과 주소로 돼 있는데 삭제된 것 같습니다. (아마도 경고음 같은 거로 추측합니다.)
http://zerotrf(.)store/error/0wa0rni0ng0.mp3
http://zerotrf(.)store/error/alertmicrosoft.mp3돼 있습니다.
일단 VirusTotal(바이러스토탈) 2022-10-26 12:59:16 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.
BitDefender:Phishing
CRDF:Malicious
ESET:Malware
Fortinet:Phishing
G-Data:Phishing
Lionic:Phishing
Netcraft:Malicious
Segasec:Phishing
Sophos:Phishing
일단은 안랩 의 V3 제품은 정확하게 탐지하고 있으며 Emsisoft,Google Safebrowsing,Phishtank에 신고했습니다. 일단 기본적으로 브라우저 및 백신 프로그램에 있는 피싱 사이트 차단 기능은 활성화해서 사용을 하는 것은 기본적으로 해야 할 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 갤럭시 스토어 버그를 악용한 스마트폰에 악성코드를 비밀리에 설치 되는 문제 해결 (2) | 2022.11.03 |
|---|---|
| VPN 에서 위치 정보 숨기는 방법 (2) | 2022.11.02 |
| 이태원 압사 사고 를 악용한 워드 악성코드-21031 ★서울 용산 이태원사고 대처상황(06시)(2022.10.31) (0) | 2022.11.01 |
| 네이버 고객센터 사칭 피싱 메일 분석-user2list kro kr(2022.10.30) (0) | 2022.11.01 |
| 마이크로소프트 엣지 107 보안 업데이트 (0) | 2022.10.30 |
| 윈도우 10 원드라이브 앱 예기지 않게 종료될 수 있는 문제 해결 방법 (0) | 2022.10.30 |
| 구글 크롬 2023년 윈도우 7,윈도우 8.1 기술 지원 종료 (0) | 2022.10.28 |
| 외교 안보 국방분야 교수,북한 민간 전문가 겨냥한 Kimsuky(김수키) 워드 악성코드-[붙임] 약력 양식(2022.10.11) (2) | 2022.10.25 |
