오늘은 마이크로소프트 로그인 로 위장하는 피싱 파일인 Voicemail Transcription_Unanswered_Calls.htm(2023.7.15)에 대해 알아보겠습니다.
일단 해당 파일의 해쉬값은 다음과 같습니다.
파일명:__ Voicemail Transcription_Unanswered_Calls
사이즈:172 B
CRC32:3d63b020
MD5:06d9ae78b08477cd503f2fbf2bfa66ea
SHA-1:774ec1844d06f685a2e2c933b49f6a52804ff5a4
SHA-256:080f645b37ea1410f89c90ee03c7586b491c7cae882a80b16675618123455003
그리고 해당 피싱 html 파일을 실행하면 다음과 같이 마이크로소프트 로그인 화면을 볼 수가 있으며
다음 사이트로 연결됩니다.
https://techtourz(.)com
여기서 비밀번호를 입력하면 다음과 같은 사이트로 연결되면 해당 부분을 통해서 비밀번호는 전송됩니다.
https://techtourz(.)com/GT7d6831c0675d28c407053ae24e477df264b5797def12f/7d6831c
0675d28c407053ae24e477df264b5797def130SC7d6831c0675d28c407053ae24e477df264b5797def131
그리고 해당 사이트의 헤더 내용은 다음과 같습니다.
HTTP/1.1 200 OK
Date: Mon, 17 Jul 2023 17:25:40 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
expires: Thu, 19 Nov 1981 08:52:00 GMT
cache-control: no-store, no-cache, must-revalidate
pragma: no-cache
vary: Accept-Encoding
x-turbo-charged-by: LiteSpeed
CF-Cache-Status: DYNAMIC
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare(.)com\/report\/
v3?s=1y%2BR7KKP0nPBvtazOLJBDLQCVrmvDv3D9%2BKIMQ5jwKWj6(t)JsGzhAmJl0M64hdDjiOr
QxgUHGTHfxK4PmKcNPvYRQwGCW61a03pfwO4BVP19%2F9lBbxV0(j)Arr4BtntqQWN"}],
"group":"cf-nel","max_age":604800}
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Server: cloudflare
CF-RAY: 7e842f6ebb31c182-ICN
Content-Encoding: br
alt-svc: h3=":443"; ma=86400
그리고 최종적으로 정상적인 마이크로소프트 오피스 사이트로 연결되는 것을 확인할 수가 있습니다.
현재 바이러스토탈 2023-07-14 09:24:27 UTC 기준으로 탐지하는 보안업체는 한군데뿐입니다.
Fortinet:JS/Redirector.LT80!tr
즉 앞서 이야기한 것처럼 기본적으로 브라우저에 있는 피싱 및 맬웨어 차단 기능을 활성화하고 기본적으로 나는 윈도우 만사용을 한다고 하면 윈도우 디펜더 에 있는 스마트스크린 기능을 비활성화하는 것은 비추천을 하면 그리고 따로 백신 프로그램(안티바이러스)을 설치를 했다고 하면 해당 부분에서도 기본적으로 피싱 및 유해 사이트 차단 기능을 지원하고 있으니
해당 기능을 비활성화하지 말고 그리고 2FA(이단계 인증)은 기본적으로 설정을 해두는 것이 안전하게 비밀번호를 사용하는 방법입니다. 구글 크롬, 파이어폭스, 마이크로소프트 엣지 등에서 설치할 수 있는 Emsisoft Browser Security 같은 부가기능 같은 것을 사용하는 것도 좋은 방법의 하나입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 텔레그램(Telegram) 피싱 사이트-36.fpond(.)link 분석(2023.07.22) (2) | 2023.07.22 |
|---|---|
| 북한 에서 만든 쿠팡 NFT 로 위장 하고 있는 피싱 사이트-coupang(.)cam(2023.7.18) (6) | 2023.07.21 |
| 북한 에서 만든 대한항공 NFT 피싱 사이트-korean-air(.)org(2023-07-17) (0) | 2023.07.21 |
| 북한 에서 만든 스타벅스 NFT 피싱 사이트-starbucks-nft(.)marketing(2023.07.18) (0) | 2023.07.20 |
| Malware Zero 악성코드 제거 도구로 위장한 악성코드 주의(2023.7.15) (0) | 2023.07.18 |
| 모질라 파이어폭스 특정 웹 사이트에서 위험한 추가 기능을 차단 기능 활성화 방법 (0) | 2023.07.17 |
| 나토(NATO) 및 우크라이나 지원 그룹을 공격 하는 악성코드-Overview_of_UWCs_UkraineInNATO_campaign.docx(2023.07.08) (0) | 2023.07.15 |
| 파이어폭스 115.0.2 보안 문제 및 여러 충돌을 수정 (0) | 2023.07.14 |
