오늘은 북한 에서 만든 쿠팡 NFT 로 위장하는 피싱(Phishing) 사이트 인 coupang(.)cam(2023.7.18)에 대해 알아보겠습니다.
일단 쿠팡(Coupang)은 한국에서 온라인 종합 쇼핑몰 또는 오픈마켓이 입장에서는 유명한 업체이고 한국에서는 상당히 유명해서 개인적으로 옥션 사용을 하다가 로켓배송, 신선코너 때문에 자주 사용을 하는 업체입니다. 최근 북한에서 스타벅스,구찌,쳇GPT(Chat GPT)를 통해서 피싱 짓을 하더니 이제는 쿠팡 가지고 하고 있습니다.
일단 해당 유포 사이트는 다음과 같습니다.
http://coupang(.)cam/
를 통해서 낚시 짓을 하고 있으며 접속을 하면 일단 개인적으로 쿠팡에서 NFT 가 있는지 모르겠지만, 이벤트 참여하면 당신에게 무상 NFT를 준다고 하면서 사용자를 낚고 있습니다.
여기서 암호화폐(가상화폐)를 지갑을 연결하면 여러분의 암호화폐(가상화폐) 지갑에 있는 자산들이 순식간에 증발하는 모습을 볼 수가 있을 것입니다.
일단 피싱 사이트에서 사용자를 낚는 방법은 간단합니다. 사용자가 무료 OK 이러고 해서 사이트에 접속하면 다음과 같은 화면을 볼 수가 있습니다.
쿠팡 NFT 에어드랍 이벤트 진행
개시 시점: 2023년 6월 8일 23:00 KST
0.00 ETH
가스비 자체 지불
이커머스를 이끄는 선도자 쿠팡!
오로지 고객만을 위해 존재하며 커머스의 미래를 만들고 지상에서 가장 우수한 고객 경험을 제공하기 위해 노력하는 로켓쿠팡, 제트쿠팡의 소중한 순간을 기억하는 NFT가 여러분을 찾아갑니다.
쿠팡의 뉴욕증권거래소(NYSE) 상장을 기념하여 세계 최대 거래소이자 전 세계 자본시장을 상징하는 뉴욕증권거래소가 직접 발행한 쿠팡 NFT.
쿠팡은 이 NFT를 통해 쿠팡을 사랑해주시는 고객 여러분께 보답의 혜택을 드리려고 합니다.
에어드랍 받기
여기서 혹시나 해서 다른 카테고리를 누르면 진짜 쿠팡 사이트로 연결하게 해서 사용자를 속이고 사이트 맨 밑에 있는 SNS는 진짜 공식 SNS 이기 때문에 사용자가 속기 딱 존재 설계를 해놓았습니다.
웹 소스를 보면 다음과 같은 내용이 포함된 것을 확인할 수가 있습니다.
<html popup="false" lang="ko-KR" data-useragent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36">
<!--<![endif]-->
<head>
<script src="https://connect.facebook(.)net/ko_KR/sdk.js?hash=eb6a30daab336687b3d5fb39d6ccacee" async="" crossorigin="anonymous"></script>
<meta charset="utf-8">
<meta name="google-site-verification" content="7xS15Vre8mbPZzQ2ER_KkpLd727gfXya5IdIy8CbVXQ">
<meta http-equiv="x-dns-prefetch-control" content="on">
<link rel="dns-prefetch" href="//cart.coupang(.)com">
<link rel="dns-prefetch" href="//assets.coupang(.)com">
<link rel="dns-prefetch" href="//assets2.coupang(.)com">
<link rel="dns-prefetch" href="//assets.coupangcdn(.)com">
<link rel="dns-prefetch" href="//asset1.coupangcdn(.)com">
<link rel="dns-prefetch" href="//private.coupang(.)com">
<link rel="dns-prefetch" href="//img1a.coupangcdn(.)com">
<link rel="dns-prefetch" href="//image1.coupangcdn(.)com">
<link rel="dns-prefetch" href="//thumbnail1.coupangcdn(.)com">
<link rel="dns-prefetch" href="//static.coupangcdn(.)com">
<link rel="dns-prefetch" href="//www.facebook(.)com">
<link rel="dns-prefetch" href="//www.google(.)com">
<link rel="dns-prefetch" href="//www.google.co(.)kr">
<link rel="dns-prefetch" href="//stats.g.doubleclick(.)net">
<link rel="dns-prefetch" href="//connect.facebook(.)net"그리고 나서 다음과 같이 설명을 할 수가 있습니다.
<html popup="false" lang="ko-KR" data-useragent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36">
<!--<![endif]-->
해당 조건부 주석은 HTML 5를 지원하지 않는 브라우저를 대상으로 합니다.
popup="false" 속성은 사용자가 링크를 클릭할 때 브라우저가 팝업 창을 열지 않도록 지시 lang="ko-KR" 속성은 브라우저에 페이지의 언어가 한국어 data-useragent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" 속성은 브라우저에 사용자 에이전트가 Mozilla Firefox 114.0.0.0 라는 것을 알려줌
<!--<![endif]--> 주석은 브라우저가 HTML 5를 지원하지 않으면 주석 태그 사이의 코드를 무시하도록 브라우저에 지시
이렇게 해서 HTML 5를 지원하지 않는 이전 브라우저를 포함하여 모든 브라우저에서 코드가 작동하도록 보장하게 작동
<!-- : 조건부 주석의 시작
<![endif] : 조건부 주석의 끝
popup="false":해당 속성은 사용자가 링크를 클릭할 때 브라우저가 팝업 창을 열지 않도록 지시
lang="ko-KR" :해당 속성은 브라우저에 페이지의 언어가 한국어
data-useragent="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36" : 해당 속성은 브라우저에 사용자 에이전트가 Mozilla Firefox 114.0.0.0임을 알려줍니다.
그리고 rel="dns-prefetch 속성을 통해서 브라우저가 지정된 도메인의 DNS(Domain Name System) 레코드를 미리 해결하도록 하며 rel="dns-prefetch" 요소의 href 속성은 브라우저가 미리 해결해야 하는 도메인 이름을 지정합니다.
그리고 해당 에어드랍 받기를 선택하면 QR 코드를 통해서 연결하는 순간 앞서 이야기했듯이 가상화폐(암호화폐)는 순식간에 사라지게 돼 있으면 주소는 다음과 같습니다.
wc:23bc7a93-d57b-49b7-bb13-7f61937d1fc0@1?bridge=https%3A%2F%2Fg.bridge.walletconnect(.)org&key=
5ff88cd6c83d219b4aef0feddc0e95fc249f4de2f0e
33c7313600c50ff840588
그리고 나서 HTTP Debugger Pro 로 보면 다음과 같이 확인을 할 수가 있습니다.
HTTP/1.1 304 Not Modified
Accept-Ranges: bytes
Alt-Svc: h2=":443"; ma=60
Cache-Control: public, max-age=0
Cf-Cache-Status: DYNAMIC
Cf-Ray: 7e84db0ddc8df5cc-NRT
Date: Mon, 17 Jul 2023 19:22:47 GMT
Etag: W/"1208a5-188b7500c72"
Last-Modified: Wed, 14 Jun 2023 00:30:56 GMT
Nel: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare(.)com\/report\/v3?s=
z0%2Fo%2FInlDyJykMpN%2BGu5NJ%2FySiwu1vBfVYTd5bcZrF1B34Fhds3asRWPSm1jecfWVzXeNmDdDRUVJcMHb
yet07obJ9mc%2B3luRzih1%2FtJgJPP7n6Pfzrr8ocBeaejvg%3D%3D"}],"group":"cf-nel","max_age":604800}
Server: cloudflare
입니다. 일단 최근 북한에서 이런 식으로 열심히 속칭 작업을 통해서 대북 제재로 말미암아서 미사일 같은 것을 만들기 위한 자금 확보를 위한 것으로 추측됩니다.
해당 사이트는 한국 IP 사용하면 접속이 되지 않으나 저 같이 VPN 사용을 하고 계시는 분들은 해당 사이트에 접속되므로 일단 Emsisoft, Google Safebrowsing,Eset,Symantec Site review(해당 부분은 쇼핑으로 돼 있어서 피싱 및 스캠 으로 변경)아무튼 일단 이렇게 하면 웬만한 브라우저에서는 차단할 수가 있을 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Microsoft Edge 115(마이크로소프트 엣지 115) 14개 보안 취약점 수정 (0) | 2023.07.26 |
|---|---|
| 주한미군 취업자를 노리는 라자루스 악성코드-미군 구인공고 웹사이트 주소 및 사용방법 안내.zip(2023.07.19) (1) | 2023.07.25 |
| 구글 크롬 115 보안 업데이트 및 측면 패널 도구 및 HTTP 업그레이드 (0) | 2023.07.24 |
| 텔레그램(Telegram) 피싱 사이트-36.fpond(.)link 분석(2023.07.22) (2) | 2023.07.22 |
| 북한 에서 만든 대한항공 NFT 피싱 사이트-korean-air(.)org(2023-07-17) (0) | 2023.07.21 |
| 북한 에서 만든 스타벅스 NFT 피싱 사이트-starbucks-nft(.)marketing(2023.07.18) (0) | 2023.07.20 |
| 마이크로소프트 로그인 로 위장 하고 있는 피싱 파일-Voicemail Transcription_Unanswered_Calls.htm(2023.7.15) (0) | 2023.07.19 |
| Malware Zero 악성코드 제거 도구로 위장한 악성코드 주의(2023.7.15) (0) | 2023.07.18 |
