오늘은 마이크로소프트 기술 센터 피싱 사이트 인 latestsalesupdates online에 대해 글을 적어 보겠습니다. 해당 사이트는 일본어를 타겟으로 하는 스캠 사이트입니다. 스캠(Scam) 이라고 생각을 하면 쉽게 사용자를 속이는 신용 사기 정도로 이해하시면 됩니다.
그냥 쉽게 이야기하면 웹사이트에 접속하면 너~악성코드 감염이 되었다. 그러니 이렇게 하면 연락을 하면 기술 지원을 해줄 것이다. 이런 식으로 돼 있고 그리고 제일 중요한 것은 마지막에 돈을 요구하는 것으로 결론으로 될 것입니다.
유포되는 주소는 다음과 같습니다.
https://latestsalesupdates(.)online/Prepared/#
일단 해당 사이트에 접속하면 갑자기 윈도우 시큐리티 화면이 실행되면 악성코드 검사가 되고 그리고 악성코드 발견이 되었다. 하면서 경고 화면을 표시할 것입니다. 일단 내용은 다음과 같습니다.
Por??graphic_Spyware_Alert-エラーコード: #DW6BD36
アクセスはこのパソコンのブロックセキュリティ上の理由
脅威が検出された-Por??graphic Spyware
アプリ:Ads.financetrack(1).exe
050-5479-2341日本フリーダイヤル)
050-5479-2341
Por???raphic_Spyware_Alert-오류 코드: #DW6BD36
액세스는 이 PC의 블록 보안상의 이유
위협 탐지 - Por???raphic Spyware
앱: Ads.financetrack(1).exe
050-5479-2341 일본 프리 다이얼)
050-5479-2341
?:검열 피하려는 것입니다. 여러분이 생각하는 것이 그것이 맞습니다. 그리고 인증서를 보면 Let`s Encrypt를 사용하는 것을 확인할 수가 있습니다.
그리고 해당 피싱 사이트 웹 소스를 열어 보면 다음과 같이 준비가 돼 있는 것을 확인할 수가 있습니다.
<!-- This is the left side of the popup for the description -->
<footer id="footer">
<div class="row">
<div class="col-md-6 left-code">
<p>脅威が検出された-Por??graphic Spyware<br>
アプリ: Ads.financetrack(1).exe</p>
</div>
<div class="col-md-6">
<div class="button_new" id="footer_btn">
<a href="#" class="safe" style="background-color:#2178d4;">クイックサポート</a>
<a href="#" class="anyway blink">安全に戻る</a>
</div>
</div>
</div>
</footer>
<!-- End MailChimp Signup Form -->
일단 개인적으로 해당 마이크로소프트 기술 지원 센터 사칭 관련해서 유튜브를 보니 대부분 해당 스캠을 유도하는 조직이 인도에서 조직을 두고 이런 피싱 범죄를 한다고 돼 있었습니다.
[소프트웨어 팁/보안 및 분석] - 마이크로소프트 기술 센터 사칭 스캠 사이트-zerotrf site error
일단 보면 악성코드가 일본에 맞춤했는지 성인관련 코드 스파이웨어라고 하고 있으며 Ads.financetrack(1)(.)exe 같은 경우 지난 시간에 소개해 드린 프랑스 어로 된 스캠에서 하고 재탕을 한 것을 볼 수가 있습니다.
프랑스 어는 ads.fancetrack (2)(.)dll 아무튼 어떤 것을 눌러도 동작을 하지 않고 해당 사이트에 접속하면 일단 친절하게 여성분의 음성이 나오면서 해당 음성은 간단합니다.
그냥 당신의 컴퓨터는 트로이 목마 악성코드에 감염되었습니다. 신용카드, 사회보장번호등을 유출할 수 있다.
그러니 마이크로소프트 기술진 하고 통화하면 된다. 라고 나와져 있으며 그리고 악성코드 검사 화면은 노턴 시만텍에서 인터페이스를 사용하는 것을 볼 수가 있습니다.
그리고 경고 내용은 다음과 같습니다.
Windows-Defender-セキュリティ警告
アクセスはこのパソコンのブロックセキュリティ上の理由
お使いのコンピュータは、それがトロイの木馬のスパイウェアに感染していること 以下のデータが侵害されました
メール資格情報
銀行パスワード
Facebookログイン
写真資料
Windows-Defender_Scanは、あなたのパスワードを盗むことができ、このデバイス上の潜在的に不要なアドウェアを発見しました,オンラインid,財務情報,個人ファイル,
私達のエンジニアが電話による取り外しプロセスによって歩くことができるように私達にすぐに連絡しな
コWindows支援すぐに報告する脅威を予防するため、盗難およびロック解除アクセス装置です
このウィンドウを閉じると、お客様の個人情報が危険にさらされ、Windows登録が停止されます
Windowsサポートに連絡する
Windows-Defender - 보안 경고
액세스는 이 PC의 블록 보안상의 이유
컴퓨터가 트로이 목마 스파이웨어에 감염되었음 다음 데이터가 침해되었습니다.
메일 자격 증명
은행 비밀번호
Facebook 로그인
사진 자료
Windows-Defender_Scan은 암호를 훔칠 수 있으며이 장치에서 잠재적으로 불필요한 애드웨어를 발견했습니다. 온라인 ID, 재무 정보, 개인 파일,
우리의 엔지니어가 전화로 제거 과정을 통해 걸을 수 있도록 저희에게 즉시 연락하지 마십시오.
Co Windows 지원 즉시 보고하는 위협을 방지하기 위해 도난 및 잠금 해제 액세스 장치입니다
이 창을 닫으면 귀하의 개인 정보가 위험에 빠지고 Windows 등록이 중지됩니다.
Windows 지원팀에 문의
그냥 너~악성코드 해결하는 방법은 간단하다. 전화번호로 전화해~너의 신용카드 정보는 이제 나의 것이다. 뭐 이런 내용입니다.
이쪽도 마찬가지로 웹 소스에는 다음과 같이 돼 있는 것을 확인할 수가 있습니다.
Windows-Defender-セキュリティ警告</p>
<p class="text-center" style="color: #FAFAFA;">** アクセスはこのパソコンのブロックセキュリティ上の理由 **</p>
<p>お使いのコンピュータは、それがトロイの木馬のスパイウェアに感染していること 以下のデータが侵害されました。</p>
<p>> メール資格情報<br>
> 銀行パスワード<br>
> Facebookログイン<br>
> 写真資料
</p>
<p>Windows-Defender_Scanは、あなたのパスワードを盗むことができ、このデバイス上の潜在的に不要なアドウェアを発見しました,オンラインid,財務情報,個人ファイル,</p>
<p>私達のエンジニアが電話による取り外しプロセスによって歩くことができるように私達にすぐに連絡しな</p>
<p>コWindows支援すぐに報告する脅威を予防するため、盗難およびロック解除アクセス装置です。</p>
<p>このウィンドウを閉じると、お客様の個人情報が危険にさらされ、Windows登録が停止されます。</p>
<h2 style="font-size:16px; font-weight:bold; color:white;">Windowsサポートに連絡する: <script>document.write(phone_number2);</script></h2>
<div class="action_buttons"> <a class="active" id="leave_page" style="cursor: pointer;">OK</a> <a class="active" id="leave_page">キャンセル</a> </div>
</div>
그리고 해당 사이트는 일단 기본적으로 2022-12-15 13:15:17 UTC 바이러스토탈 기준 탐지하는 보안 업체들은 다음과 같습니다.
Avira:Malware
BitDefender:Malware
CRDF:Malicious
ESET:Malware
Fortinet:Malware
G-Data:Malware
Kaspersky:Malware
Netcraft:Malicious
Sophos:Malware
Trustwave:Phishing
VIPRE:Malicious
여기서는 탐지가 안 되는 것처럼 보이지만 마이크로소프트에서 제공하는 스마트스크린에서는 기본적으로 일본어를 보시면 앞서 이야기한 것처럼 프랑스 어로 된 마이크로소프트 기술지원 센터 피싱 사이트 에 있는 글자가 똑같은 것을 볼 수가 있습니다.
그리고 오타가 있는 것도 볼 수가 있으며 진짜 허술하게 만들어진 피싱 사이트 입니다. 일단 개인적으로 전화는 하지 않았지만 앞서 유튜브에서 해당 부분을 외국인들이 전화해서 어떻게 사용자의 금융정보에 접근하는지를 알 수가 있을 것입니다.
일단 Emsisoft에 신고했지만, 어차피 2~3일 정도 영업을 하고 중단을 했을 것이면 기본적으로 브라우저, 백신 프로그램에 있는 피싱 사이트 차단 기능들은 활성화해서 사용을 하는 것이 안전하게 컴퓨터를 사용하는 방법의 하나입니다. Fake Microsoft Phone Support로 유튜브에 검색을 해보시면 많이 나올 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
구글 웹용 지메일(Gmail)종단 간 암호화 도입 (2) | 2022.12.23 |
---|---|
대북 관계자,북한 민간 전문가등을 노리는 워드 악성코드-동아시아연구원 사례비 지급 서식.docx(2022.12.15) (4) | 2022.12.21 |
윈도우 10 KB5021233 설치시 0xc000021a 오류 와 블루스크린 문제 발생 (4) | 2022.12.20 |
2023년 2월 Internet Explorer(인터넷 익스플로러) 비활성화 (0) | 2022.12.20 |
파이어폭스 108 보안 업데이트 (0) | 2022.12.16 |
토르 브라우저 12.0(Tor Browser 12.0) Apple Silicon(애플 실리콘) 지원 (2) | 2022.12.15 |
북한 김수키 한국인 개인정보 를 도용해서 만든 워드 악성코드-paypal.docx(2022.12.12) (0) | 2022.12.14 |
윈도우 10 KB5021233 및 KB5021237 보안 업데이트 (0) | 2022.12.14 |