오늘은 국민건강보험 공단 피싱 사이트 스미싱 사이트인 buyhwan(.)xyz(2023.09.11)에 대해 글을 적어 보겠습니다. 해당 사이트는 피싱(Phising) 사이트 입니다.
일단 예전에는 윈도우 환경에서 들어오면 해당 사이트를 국민건강보험으로 넘겨지고 사파리 즉 iOS 인 애플 아이폰 등도 마찬가지였지만 지금은 어느 환경에서 사용해서 접속해도 해당 피싱 사이트는 접속이 이루어집니다.
안드로이드이고 컴퓨터이고 애플 아이폰이든 접속을 하고 파일을 다운로드 할 수가 있지만, 악성코드는 안드로이드 스마트폰 사용자를 노리는 사이트입니다. 물론 해당 애플 아이폰 사용자 분들은 악성코드는 설치할 수가 없지만, 전화번호를 입력하면 다른 전화금융사기를 통해서 피해가 우려될 수도 있습니다.
예전에는 KMI 한국의학연구소로 넘겨 버렸는데 이제는 진짜 국민건강보험공단으로 날려 버립니다.
일단은 해당 사이트에 인증서는 없어서 금방 피싱(Phising) 이라는 것을 눈치를 챌 수가 있을 것입니다.
유포 문자 내용
[Web발신]보험 국민건강 통보문 전달완료부탁합니다
[Web발신]건강검사보험 통보문 전달완료
[Web발신]보험 국민건강 통보문 전달완료부탁합니다
[Web발신]건강검사보험 통보문 전달완료
[Web발신]국민건강 검진통진서 자세한 내용 확인
유포 사이트
http://buyhwan(.)xyz/
일단 진짜와 다른 점은 역시 https 가 아니라는 점입니다.
기본적인 피싱 방법은 간단합니다. 먼저 해당 사이트에 접속하면 묻지도 않고 그냥 전화번호를 입력을 요구합니다.
그리고 조회를 입력하면 다음과 같이 이름, 생년월일을 입력하라고 합니다. 해당 방법은 몇 년이 지나도 똑같은 느낌이 드네요.
여기서 생년월일을 잘못 입력하면 다음과 같은 화면을 볼 수가 있는데 보면 한국어가 이상한 것을 확인할 수가 있습니다.
생년월일을 정화하게 입력하세요.
이것을 확인하기 위해서 common(.)js를 열어보면 됩니다.
그러면 다음과 같은 자바스크립트가 있는 것을 확인할 수가 있습니다.
function gourl(o(,)n){n?window.open(o):window.location.href=o}function
form_Search(){var o=/^\d{4}$/,
n=document(.)location.hostname,e=$("input[name='mobile_no1']").
val()+$("input[name='mobile_no2']").val()(+)$("input[name='mobile_no3']")
.val();return) o.test($("input[name='mobile_no2']").val())?o
.test($("input[name='mobile_no3']").val())?void $.ajax({url:"/XmsWeb/ConfirmPh(o)neNo"
,type:"POST",dataType:"json",timeout:15e3,data:{phoneNo:e,domain:n}
,success:function(o){localStorage.phone=e,gourl("/info.html")}
,error:function(){alert("네트워크가 비정상입니다. 네트워크를 확인하십시오.")}})
:(alert("핸드폰 번호를 입력하시고 건강검진서를 확인해주세요.")
,void $("input[name='mobile_no3']")
.focus()):(alert("핸드폰 번호를 입력하시고 건강검진서를 확인해주세요.")
,void $("input[name='mobile_no2']").focus())}function finish()
{var o=/^\d{6}$/,n=$("input[name='name']").val(),e=$("input[name='birth']")
.val();return n.length<2||
n.length>5?(alert("실명 입력이 필요 합니다."),void $("input[name='name']")
.focus()):o.test(e)?void $.ajax({url:"/(X)msWeb/Submit",type:"POST",dataType:"json"
,timeout:15e3,data:{phoneNo:localStorage.phone,name:n,birth:e}
,success:function(o){1==o.Status?gourl("/finish.html"):alert(o(.)Message)}
,error:function(){alert("네트워크가 비정상입니다. 네트워크를 확인하십시오.")}})
:(alert("생년월일을 정화하게 입력하세요."),void $("input[name='birth']")
.focus())}function browse(){$.ajax({url:"/XmsWeb(/)Confirm",type:"POST",dataType:
"json",timeout:15e3,data:{domain:window.location(.)hostname},success:function(){}
,error:function(){}})}function click_download(){$.ajax({type:"POST"
,url:"/XmsWeb(/)Download",data:{domain:window.location.hostname}
,success:function(){},error:function(){}})}localStorage.phone||(localStorage.phone="010");
설명
제공된 JavaScript 코드는 웹 페이지에서 전화번호 유효성 검사와 양식 제출을 처리하는 기능
1. gourl(o, n): 해당 함수는 n 매개변수에 따라 새 창 (window.open)을 열거나 현재 창의 위치 (window.location.href)를 변경하는 데 사용됩니다. 주로 탐색 목적으로 사용
2. form_Search(): 해당 함수는 양식 제출을 처리
양식 필드에 입력된 전화번호의 유효성을 확인하고 전화번호 및 도메인을 포함하여 서버 엔드포인트(/XmsWeb(/)ConfirmPhoneNo)로 AJAX 요청을 보냅니다.
전화번호가 유효하면 localStorage에 저장하고 /info(.)html로 리디렉션
오류가 발생하거나 전화번호가 유효하지 않았으면 오류 메시지를 표시
3. finish():해당 함수는 이름과 생년월일 필드가 있는 다른 양식의 제출을 처리
이름과 생년월일의 유효성을 확인하고 저장된 전화번호, 이름 및 생년월일을 포함하여 /XmsWeb(/)Submit으로 AJAX 요청을 보냅니다.
성공하면 /finish(.)HTML로 리디렉션
오류가 발생하거나 입력이 유효하지 않았으면 오류 메시지를 표시
4.browse():해당 함수는 현재 웹 사이트의 도메인 이름(hostname)을 사용하여 /XmsWeb(/)Confirm로 AJAX 요청을 보냄
5.click_download(): 해당 함수는 현재 웹 사이트의 도메인 이름(hostname)을 사용하여 /XmsWeb(/)Download 로 AJAX 요청을 보냄
코드의 끝에서, localStorage.phone을 010으로 초기화
그리고 악성코드를 다운로드 위한 작업을 한 피싱 사이트로 이동을 합니다.
그리고 안에서 볼 수가 있는 내용은 다음과 같습니다.
The건강보험
어플을 다운로드후에 설치를 누르시면 권한혀용이 뜹니다. 허용을 해주시면 어플설치할수 있습니다.
Play프로젝트에 의해 차단됨이라는 글이 나올 시에는 밑에 무시하고 설치를 누르시면 됩니다.
설치방법다운로드에->설치->어플을찾아서 더블클릭 (또는 클릭) 하여 설치할 수 있습니다.
*금년도 검진대상이 확인된 분은 신분증을 지참하고 검진기관에 방문하셔도 검진할 수 있습니다.
검진표를 분실하거나 수령치 못한경우에는 1577-1000번이나 가까운 지사에 신청하시면 검진대상자 확인서를 발급해 드립니다.
다운로드 하기
가 표시가 돼 있으며 여기서 자신이 입력한 전화번호를 통해서 악성코드가 다운로드가 되면 apk 파일을 설치하라고 유도를 합니다.
악성코드는 나중에 시간이 나면 분석을 할 거며 먼저 악성코드 해쉬값은 다음과 같습니다.
파일명:1234456789.apk
사이즈:3.36 MB
CRC32:50369ec6
MD5:3e3a272172dd3657b78fe1f871a1f623
SHA-1:37ce4d0b6bc0902551a84ae4ce970cd676fd3d73
SHA-256:262b3490aa6e39136d20e40fc724493bb2c94af7b51369d05211e64964270b5a
입니다.
바이러스토 토탈에서 2023-09-11 04:12:26 UTC 기준으로 탐지하는 보안 업체들은 다음과 같습니다.
AhnLab-V3:Trojan/Android.SMSstealer.1201981
Alibaba:TrojanSpy:Android/SmsThief.8c9e1f6f
Avast-Mobile:Android:Evo-gen [Trj]
Avira (no cloud):ANDROID/AVE.Evo.wpzwx
ESET-NOD32:A Variant Of Android/Spy.Agent.CPA
Fortinet:Android/Agent.CPA!tr
Ikarus:Win32.Outbreak
K7GW:Spyware(005a1d2f1)
Kaspersky:HEUR:Trojan-Spy.AndroidOS.SmsThief.to
McAfee:Artemis!98EE14824B9B
McAfee-GW-Edition:Artemis!Trojan
Microsoft:Trojan:Script/Wacatac.B!ml
Symantec Mobile Insight:AdLibrary:Generisk
Tencent:Android.Trojan-Spy.Smsthief.Itgl
ZoneAlarm by Check Point:HEUR:Trojan-Spy.AndroidOS.SmsThief.to
즉 최소한 백신앱 중에서 AV-TEST에서 검증받은 보안 업체 제품들을 사용하는 것을 추천합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
마이크로소프트 엣지 117 즐겨찾기 복구 및 기능 제거 및 보안 업데이트 (0) | 2023.09.17 |
---|---|
프랑스 iPhone 12(아이폰 12) 높은 방사선 으로 판매 중지 (0) | 2023.09.17 |
Konni(코니) 에서 만든 국세청 사칭 악성코드-국세청 종합소득세 해명자료 제출 안내(2023.9.4) (0) | 2023.09.15 |
네이버 피싱 메일 캄보디아 이주와 관련하여 회원님의 메일 백업 요청이 접수 되었습니다.피싱 메일 분석(2023.9.11) (2) | 2023.09.15 |
윈도우 10 KB5030211 보안 업데이트 (0) | 2023.09.13 |
파이어폭스(Firefox),썬더버드(Thunderbird) WebP 보안 문제 업데이트 (0) | 2023.09.13 |
페이스북 비즈니스 계정 사칭 피싱 사이트-account fb reserve 5e029(.)web(.)app(2023.9.9) (2) | 2023.09.13 |
스타벅스 NFT 에어드랍 피싱(Phising) 사이트-starbucks-kr(.)com(2023.9.8) (0) | 2023.09.12 |