꿈을꾸는 파랑새

오늘은 계정 청구로 위장해서 마이크로소프트 계정 탈취 피싱 사이트 salesanalysis 에 대해 글을 적어 보겠습니다. 해당 피싱 사이트는 마이크로소프트 계정 탈취 목적으로 제작된 피싱 사이트 입니다. 일단 피싱 사이트 는 다음과 같습니다.

https://salesanalysis.gitbook(.)io/accnotify/->https://cyclestrader(.)ca/accnotify/index.php

입니다.
일단 먼저 접속을 하는 피싱 사이트는 다음과 같습니다.
접속을 하면 다음과 같은 내용을 확인할 수가 있습니다.

Acc_Due Notice 피싱 사이트 메인화면Acc_Due Notice 피싱 사이트 정보
Acc_Due Notice 피싱 사이트 메인화면

Acc_Due Notice
🔒These files have been securely shared with you
Only the receiving/organization office email can access the statement. This statement is accessible on Pcs/mobile devices.
This Document is protected for your view only
Microsoft © 2023 File ID: TXK8T2N -2MFM0801
(Acc_Due 알림
🔒이 파일은 나와 안전하게 공유되었습니다.
접수/조직사무실 이메일만 명세서 조회가 가능합니다. 이 명세서는 PC/모바일 장치에서 액세스할 수 있습니다.
이 문서는 보기 전용으로 보호됩니다.
Microsoft © 2023 파일 ID: TXK8T2N -2MFM0801)

입니다.
웹 소스를 보면 다음과 같이 마이크로소프트 계정을 탈취하기 위한 사이트가 연결된 것을 확인할 수가 있습니다. 여기서는 VIEW ATTACHMENT HERE​ 부분을 눌러주면 해당 피싱 사이트로 이동을 합니다.

Acc_Due Notice 웹소스에 포함이 된 피싱사이트 주소
Acc_Due Notice 웹소스에 포함이 된 피싱사이트 주소

<a href="https://cyclestrader(.)ca/accnotify/index.php" data-rnwi-5xr8s6-dse9kg-2fw26j-15n4387-focus-visible="true" data-rnwi-handle="link" class="css-175oi2r r-1i6wzkk r-lrvibr r-1loqt21 r-1otgn73 r-1471scf"

그리고 VIEW ATTACHMENT HERE를 눌러주면 마이크로소프트 계정을 탈취하기 위한 사이트로 연결되는 것을 확인할 수가 있으며 One Drive(윈드라이브)로 돼 있는 것을 볼 수가 있습니다.
내용은 다음가 같습니다.

마이크로소프트 계정 피싱 로그인 화면원드라이브 피싱 사이트 인증서
마이크로소프트 계정 피싱 로그인 화면

One Drive
To view the document, please choose your email provider below login to view shared file.
Sign in with Outlook
Sign in with Office365
Sign in with Other Mail
OneDrive cloud storage is offered as part of Microsoft suite. It allows you to store, share, and collaborate on files in the cloud.
Copyright© 2023 Microsoft, All right reserved.
(원 드라이브
문서를 보려면 로그인 아래에서 이메일 제공업체를 선택하여 공유 파일을 보십시오.
Outlook으로 로그인
Office365로 로그인
다른 메일로 로그인
OneDrive 클라우드 저장소는 Microsoft 제품군의 일부로 제공됩니다. 클라우드에서 파일을 저장, 공유 및 공동 작업할 수 있습니다.
Copyright© 2023 Microsoft, All right reserved.)

HTTP Debugger Pro 계정 정보 전송
HTTP Debugger Pro 계정 정보 전송

즉 문서를 열려면 로그인을 하라고 합니다.
일단 어느 것을 선택하든 로그인을 하기 위한 작업이 준비돼 있습니다.
어떤 계정과 비밀번호를 입력하더라도 InValid Credentials(잘못된 자격 증명)이라는 메시지를 볼 수가 있습니다.
그리고 전송된 정보는 다음과 같이 HTTP Debugger Pro로 보면 이메일, 비밀번호, 어떤 계정으로 로그인했는지 확인을 할 수가 있습니다.

https://cyclestrader(.)ca/accnotify/next.php

로 전송이 되면 전송된 내용을 보면 다음과 같습니다.

HTTP Debugger Pro 계정 정보 전송 2
HTTP Debugger Pro 계정 정보 전송 2

POST /accnotify/next(.)php HTTP/1.1
Host: cyclestrader(.)ca
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/110.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Origin: https://cyclestrader(.)ca
DNT: 1
Connection: keep-alive
Referer: https://cyclestrader(.)ca/accnotify/index.php
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Accept-Encoding: gzip, deflate
Content-Length: 59
email=test%40hotmail.com&password=test%40123&detail=Outlook

입니다. 일단 2023-02-14 16:43:26 UTC 기준 바이러스토탈(VirusTotal)에서 탐지하는 보안 업체들은 다음과 같습니다.
alphaMountain(.)ai:Phishing
Antiy-AVL:Malicious
Avira:Phishing
BitDefender:Malware
CRDF:Malicious
CyRadar:Malicious
Fortinet:Phishing
G-Data:Malware
Heimdal Security:Phishing
Lionic:Phishing
Sophos:Phishing
Trustwave:Phishing
이면 일단 개인적으로 Eset,마이크로소프트 스마트스크린(SmartScreen),PhishTank(피싱탱크),Emsisoft,Google Safebrowsing 쪽은 신고했습니다. 일단 해당 피싱 사이트를 탐지하는 보안 업체들은 있지만 아직은 탐지하지 않은 쪽이 많은 것 같습니다.
일단은 신고했기 때문에 보안 직원분들이 확인하고 차단을 할 것입니다. 그래서 기본적으로 이런 브라우저 및 운영체제에 있는 기능을 끄고 사용을 하는 것을 추천하지 않으면 언제나 피싱 사이트에서 사용되는 인증서는 Let's Encrypt입니다.

728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band