꿈을꾸는 파랑새

오늘은 비트코인 해킹 협박 메일(혹스 메일)을 분석을 해 보겠습니다.
일단 해당 메일 Hoax mail(혹스 메일)이며 거짓 정보를 토대로 메일을 보내 사용자를 속이는 방식의 협박성 사기 매일 이며 개인적으로는 우연히 스팸 메일을 뒤지다가 발견한 이메일 있었습니다. 일단 기본적으로 패턴은 너~성X 사이트 접속을 한 것을 알고 있다. 너 불법적인 영상물을 보았으니 기록에 남겨서 박제하기 전에 비토코인을 보내면 해당 접속 기록 삭제해줄게. 이런 식 비트코인을 요구하는 해킹 협박 메일, 혹스 메일을 보내는 일이 늘어나고 있습니다. 이를 대처하는 방법에 대해 알아봅시다.
기본적으로 이메일 제목과 내용은 다음과 같습니다.

Cerbero Suite Advanced 본 이메일 정보
Cerbero Suite Advanced 본 이메일 정보

제목: Security Notice. ????@naver(.)com was hacked! Change your password now!
Dear user of naver.com!
I am a spyware software developer.
Yo
The hacking was carried out using a hardware vulnerability through which you went online (Cisco router, vulnerability CVE-2023-20026).
I went around the security system in the router, installed an exploit there.
When you went online, my exploit downloaded my malicious code (rootkit) to your device.
This is driver software, I constantly updated it, so your antivirus is silent all time.
Since then I have been following you (I can connect to your device via the VNC protocol).
That is, I can see absolutely everything that you do, view and download your files and any data to yourself.
I also have access to the camera on your device, and I periodically take photos and videos with you.
At the moment, I have harvested a solid dirt... on you...
I saved all your email and chats from your messangers. I also saved the entire history of the sites you visit.
I note that it is useless to change the passwords. My malware update passwords from your accounts every times.
I know what you like ????funs (adu?? sites).
Oh, yes .. I'm know your secret life, which you are hiding from everyone.
Oh my God, what are your like... I saw THIS ... Oh, you dirty naughty person ... 😄
I took photos and videos of your most passionate funs with adult content, and synchronized them in real time with the image of your camera.
Believe it turned out very high quality!
So, to the business!
I'm sure you don't want to show these files and visiting history to all your contacts.
Transfer $1330 to my Bitcoin cryptocurrency wallet:1PNWAfqoNQhTR2jCpcSPL6P5XrCxCofqB3
Just copy and paste the wallet number when transferring.
An important notice: I have specified my Bitcoin wallet with spaces, hence once you carry out a transfer, 
please make sure that you key-in my bitcoin address without spaces to be sure that your funds successfully reach my wallet!
If you do not know how to do this - ask Google.
My system automatically recognizes the translation.
As soon as the specified amount is received, all your data will be destroyed from my server, and the rootkit will be automatically removed from your system.
Do not worry, I really will delete everything, since I am 'working' with many people who have fallen into your position.
You will only have to inform your provider about the vulnerabilities in the router so that other hackers will not use it.
Since opening this letter you have 48 hours.
If funds not will be received, after the specified time has elapsed, the disk of your device will be formatted,
and from my server will automatically send email and sms to all your contacts with compromising material.
P.S. Do not try to contact me (this is impossible, sender's address was randomly generated).
I advise you to remain prudent and not engage in nonsense (all files on my server).
Good luck!

대충 번역기 도움을 받아서 영어를 번역하면 다음과 같습니다.

naver(.)com 사용자 여러분!
저는 스파이웨어 소프트웨어 개발자입니다.
귀하의 계정은 몇 달 전에 저에게 해킹당했습니다.
해킹은 온라인에 접속한 하드웨어 취약점(Cisco 라우터, 취약점 CVE-2023-20026)을 사용하여 수행되었습니다.
라우터의 보안 시스템을 돌아 다니며 익스플로잇을 설치했습니다.
당신이 온라인에 접속했을 때 나의 익스플로잇이 나의 악성 코드(루트킷)를 당신의 기기에 다운로드 했습니다.
이것은 드라이버 소프트웨어이며 지속적으로 업데이트 하므로 바이러스 백신이 항상 조용합니다.
그 이후로 저는 당신을 팔로우 하고 있습니다(VNC 프로토콜을 통해 당신의 장치에 연결할 수 있습니다).
즉, 나는 당신이 하는 모든 일을 볼 수 있고, 파일과 데이터를 보고 다운로드 할 수 있습니다.
나는 또한 귀하의 장치에 있는 카메라에 액세스할 수 있으며 주기적으로 귀하와 함께 사진과 비디오를 찍습니다.
지금 나는 단단한 흙을 수확했습니다... 당신에게...
나는 당신의 메신저에서 모든 이메일과 채팅을 저장했습니다. 방문한 사이트의 전체 기록도 저장했습니다.
암호를 변경해도 소용이 없습니다. 내 맬웨어는 매번 계정에서 비밀번호를 업데이트합니다.
하드??(성?사이트) 좋아하는거 알아요.
오, 그래 .. 나는 당신이 모두에게 숨기고있는 당신의 비밀스런 삶을 알고 있습니다.
맙소사, 당신은 어떤가요... 봤어요 THIS... 아, 이 더러운 개구쟁이... 😄
성? 콘텐츠로 가장 열정적으로 즐기는 사진과 동영상을 촬영하고 카메라 이미지와 실시간으로 동기화했습니다.
그것이 매우 높은 품질로 밝혀졌다고 믿으세요!
그래서 사업에!
이 파일과 방문 기록을 모든 연락처에 표시하고 싶지 않을 것입니다.
내 비트코인 암호화폐 지갑으로 $1330 이체:1PNWAfqoNQhTR2jCpcSPL6P5XrCxCofqB3
송금할 때 지갑 번호를 복사하여 붙여넣기 만 하면 됩니다.
중요한 알림: 비트코인 지갑에 공백을 지정했으므로 송금을 수행하면
자금이 내 지갑에 성공적으로 도달할 수 있도록 공백 없이 내 비트코인 주소를 입력했는지 확인하십시오!
이 작업을 수행하는 방법을 모르는 경우 Google에 문의하십시오.
내 시스템은 번역을 자동으로 인식합니다.
지정된 금액을 받는 즉시 귀하의 모든 데이터는 내 서버에서 파기되며 루트킷은 귀하의 시스템에서 자동으로 제거됩니다.
당신의 입장에 빠진 많은 사람과 '일'하고 있으니 정말 다 지울 테니 걱정 마세요.
다른 해커가 라우터를 사용하지 못하도록 공급자에게 라우터의 취약성에 대해 알리기만 하면 됩니다.
이 편지를 연 이후로 48시간이 남았습니다.
자금이 입금되지 않으면 지정된 시간이 경과한 후 장치의 디스크가 포맷됩니다.
내 서버에서 손상된 자료가 포함된 모든 연락처로 이메일과 SMS를 자동으로 보냅니다.
추신 저에게 연락하지 마세요(불가능합니다. 발신자의 주소는 임의로 생성되었습니다).
신중을 기하고 말도 안되는 일(내 서버의 모든 파일)에 관여하지 말 것을 조언합니다.
행운을 빌어요!
대충 요약하자면 CVE-2023-20026 취약점으로 네이버 계정을 해킹 했다 너~는 성X 사이트에서 이상한 불법촬영물 같은 것을 보았으니 기록이 남았으니 비트코인 으로 입금하라는 메시지이면 기본적으로 특정 아이디를 강조하지 않는 것을 보면 그냥 한 사람 걸리라는 식으로 보낸 것을 추측할 수가 있습니다.

비트 코인 주소
비트 코인 주소

블록체인 info 를 통해서 해당 비트코인 지갑 주소를 넣어보면 받은 총계
0.19059775 비트코인 정보를 확인할 수가 있었습니다. 2023.03.09 기준으로 4,126.35 달러 가치가 된 것을 확인할 수가 있었습니다. Cerbero Suite Advanced 확인한 정보는 다음과 같습니다.
from: 메일을 발송하는 서버의 주소 또는 호스트이름을 명시하는 부분으로 메일을 처음 발송하는 부분이 될 수도 있고 중간 경유지가 될 수도 있으면 그러면 해당 피싱 메일은 Received  from:[196.189.191(.)63] ([196.189.191(.)63])
by crcvmail106.nm.naver(.)com with ESMTP id ??????
for <??????@naver.com>; 
해당 이메일이 보낸 시간은 다음과 같습니다.
Thu, 02 Mar 2023 19:38:41 -0000
여기서 9를 더하면 오후 7시에 보낸 것을 확인할 수가 있었습니다.
IP 주소를 조회하면 저 멀리 아프리카 대륙인 에티오피아(Ethiopian) 에서 온 것을 확인할 수가 있었습니다.
뭐~그냥 비트코인을 보내 루트킷 을 제거를 할 것이라고 하는데 그냥 백신프로그램(안티 바이러스)프로그램을 설치를 하면 그냥 루트킷을 해결을 할 수가 있습니다.
그냥 이런 메일 오며 그냥 무시하면 됩니다. 자신이 아무리 어른스러운 동영상을 보았더라도 저런 메일은 그냥 무시하면 됩니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band