꿈을꾸는 파랑새

오늘은 마이크로소프트 기술 센터 스캠 사이트에 대해 글을 적어 보겠습니다. 해당 사이트는 프랑스 인들을 타겟으로 하는 스캠 사이트입니다. 스캠(Scam) 이라고 생각을 하면 쉽게 사용자를 속이는 신용 사기 정도로 이해하시면 됩니다.
그냥 쉽게 이야기하면 웹사이트에 접속하면 너~악성코드 감염이 되었다. 그러니 이렇게 하면 연락을 하면 기술 지원을 해줄 것이다. 이런 식으로 돼 있고 그리고 제일 중요한 것은 마지막에 돈을 요구하는 것으로 결론으로 될 것입니다.
유포되는 주소는 다음과 같습니다.

http://zerotrf(.)store/error

마이크로소프트 기술 센터 사칭 스캠 메인 화면
마이크로소프트 기술 센터 사칭 스캠 메인 화면

일단 해당 사이트에 접속하면 갑자기 윈도우 시큐리티 화면이 실행되면 악성코드 검사가 되고 그리고 악성코드 발견이 되었다. 하면서 경고 화면을 표시할 것입니다. 일단 내용은 다음과 같습니다.

Centre de sécurité Windows Defender
App: Ads.fiancetrack(2).dll
Threat Detected: Trojan Spyware
'accès à ce PC a été bloqué pour des raisons de sécurité.
Contacter l'assistance Windows: 09 70 50 12 35
(Windows Defender Security Center
앱 : ads.fancetrack (2) .dll
위협이 저하 : 트로이 스파이웨어
'보안상의 이유로이 PC에 대한 액세스가 차단되었습니다.
Windows Assistance에 문의하십시오 : 09 70 50 12 35)
프랑스 마이크로소프트 기술팀 사칭 스캠 사이트

있고 어떤 것을 눌러도 동작을 하지 않은 것을 볼 수가 있습니다. 그리고 메인 화면에 나오는 메시지를 다음과 같습니다.

마이크로소프트 기술 센터 사칭 스캠 Base64 이미지 인코딩
마이크로소프트 기술 센터 사칭 스캠 Base64 이미지 인코딩

L'accès à cet ordinateur a été bloqué pour des raisons de sécurité. Ne pas accéder ou redémarrer cet ordinateur. Ignorer cet avertissement critique peut entraîner la perte de données sur ce système. Veuillez contacter le suppo
(보안상의 이유로 이 컴퓨터에 대한 액세스가 차단되었습니다. 이 컴퓨터에 액세스 하거나 다시 시작하지 마십시오. 이 중요한 경고를 무시하면 이 시스템의 데이터가 손실될 수 있습니다. 지원팀에 문의하세요.)

마이크로소프트 기술 센터 사칭 스캠 웹소스
마이크로소프트 기술 센터 사칭 스캠 웹소스

한마디로 너~마음대로 하면 컴퓨터에 있는 파일에 손상될 수가 있다는 내용입니다.
그리고 해당 웹 소스를 열어 보면 다음과 같이 이미지들은 Base64 img로 처리가 된 것을 볼 수가 있습니다.
이미지를 Base64인코딩 방식을 사용하는 경우에는 다음과 같습니다.
크기가 작은 이미지를 이미지 파일 없이 html에 만들어 넣기
간단한 페이지를 작성해 임시로 이미지를 사용하는 경우
메일을 html으로 작성해서 보내는 경우
<img src="data:image/<이미지확장자>;base64,<data코드>")
로 된 부분이 Base64인코딩 방식을 사용한 부분이며 기타 바탕화면이 되는 부분이 되는 주소는 다음과 같습니다.

https://i.imgur(.)com/GsE7w8v.jpg
https://i.imgur(.)com/tZ7HPCN.jpg

마이크로소프트 기술 센터 사칭 스캠 포함된 이미지마이크로소프트 기술 센터 사칭 스캠 이미지 2
마이크로소프트 기술 센터 사칭 스캠 포함된 이미지

파란색으로 화면이 된 글자는 다음과 같습니다.

<p>** L'ACCÈS À CE PC A ÉTÉ BLOQUÉ POUR DES RAISONS DE SÉCURITÉ **</p>
         <p>Votre ordinateur nous a alerté qu'il a été infecté par un Trojan Spyware. Les données suivantes ont été compromises.</p>
         <p>&gt; Identifiants de messagerie<br>
            &gt; Mots de passe bancaires<br>
            &gt; Identifiant Facebook<br>
            &gt; Des photos &amp; Documents
         </p>
         <p>Windows-Defender Scan a trouvé sur cet appareil des logiciels publicitaires potentiellement indésirables qui peuvent voler vos mots de passe, votre identité en ligne, vos informations financières, vos fichiers personnels, vos photos ou vos documents.</p>
         <p>Vous devez nous contacter immédiatement afin que nos ingénieurs puissent vous guider tout au long du processus de suppression par téléphone..</p>
         <p>Appelez immédiatement le support Windows pour signaler cette menace, empêcher le vol d'identité et déverrouiller l'accès à cet appareil.</p>
         <p>La fermeture de cette fenêtre mettra vos informations personnelles en danger et entraînera la suspension de votre enregistrement Windows.</p>
         <p style="padding-bottom: 0px; color:#fff; font-size:14px;">
            Appelez l'assistance Windows: 
            <strong>
               09 70 50 12 35   </strong>
         </p>

이며 해당 프랑스 어를 한국어로 번역하면 다음과 같습니다.

Windows-Defender Scan a trouvé sur cet appareil des logiciels publicitaires potentiellement indésirables qui peuvent voler vos mots de passe, votre identité en ligne, vos informations financières, vos fichiers personnels, vos photos ou vos documents.
Vous devez nous contacter immédiatement afin que nos ingénieurs puissent vous guider tout au long du processus de suppression par téléphone..
Appelez immédiatement le support Windows pour signaler cette menace, empêcher le vol d'identité et déverrouiller l'accès à cet appareil.
La fermeture de cette fenêtre mettra vos informations personnelles en danger et entraînera la suspension de votre enregistrement Windows.
Appelez l'assistance Windows: 
09 70 50 12 35
(Windows-Defender Scan 은이 장치에서 비밀번호, 온라인 신원, 재무 정보, 개인 파일, 사진 또는 문서를 훔칠 수 있는 잠재적으로 원치 않는 광고 소프트웨어를 발견했습니다.
엔지니어가 전화로 삭제 프로세스 전체에서 귀하를 안내할 수 있도록 즉시 저희에게 연락해야 합니다.
즉시 Windows 지원에 전화 하며 위협을 보고하고 신원 도용을 방지 하며 이 장치에 대한 액세스를 잠금 해제하십시오.
이 창의 폐쇄는 귀하의 개인 정보를 위험에 빠뜨릴 것이며 Windows 녹음이 중단됩니다.
Windows 지원 전화 :
09 70 50 12 35)

물론 해당 전화번호는 마이크로소프트 공식 기술 지원센터 전화번호가 아니 사기범에게 전화를 거는 전화번호입니다.
MP3 파일은 다음과 주소로 돼 있는데 삭제된 것 같습니다. (아마도 경고음 같은 거로 추측합니다.)

HTTP Debugger Pro 마이크로소프트 사칭 스캠 사이트
HTTP Debugger Pro 마이크로소프트 사칭 스캠 사이트

http://zerotrf(.)store/error/0wa0rni0ng0.mp3
http://zerotrf(.)store/error/alertmicrosoft.mp3

돼 있습니다.
일단 VirusTotal(바이러스토탈) 2022-10-26 12:59:16 UTC 기준 탐지하는 보안 업체들은 다음과 같습니다.
BitDefender:Phishing
CRDF:Malicious
ESET:Malware
Fortinet:Phishing
G-Data:Phishing
Lionic:Phishing
Netcraft:Malicious
Segasec:Phishing
Sophos:Phishing

Microsoft Defender SmartScreen(마이크로소프트 디펜더 스마트트 스크린) 탐지마이크로소프트 사칭 스캠 사이트 V3 피싱 사이트 차단
Microsoft Defender SmartScreen(마이크로소프트 디펜더 스마트트 스크린) 탐지

일단은 안랩 의 V3 제품은 정확하게 탐지하고 있으며 Emsisoft,Google Safebrowsing,Phishtank에 신고했습니다. 일단 기본적으로 브라우저 및 백신 프로그램에 있는 피싱 사이트 차단 기능은 활성화해서 사용을 하는 것은 기본적으로 해야 할 것입니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band