분석 정보/악성코드 분석 정보

[악성코드 분석]애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의

TACHYON & ISARC 2019. 2. 13. 16:34

애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의

1. 개요

최근 애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일이 유포되고 있다. 2018년 하반기, 애플을 사칭하여 사용자 계정정보를 탈취하는 메일이 유포 된 적이 있으나 최근에 다시 등장하여 사용자의 주의를 요한다. 해당 메일은 애플 제품의 구매 확인서를 사칭해서 pdf 파일을 첨부 하고 있으며 피싱사이트로 유도하여 사용자 정보를 노린다.

 

이번 보고서에는 최근에 발견 된 애플을 사칭한 피싱 메일에 대해서 알아보고자 한다.


 

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

Invoice Receipt #4658421.pdf

 파일크기

684,668 bytes

 진단명

Trojan/W32.Pidief.684668.E

악성동작

사용자 계정 정보 탈취


 

2-2. 유포 경로

해당 파일은 애플을 사칭해서 메일 첨부파일 형태로 유포 된다. 제품 주문 내용을 확인해 달라는 내용과 함께 첨부된 파일을 열어 자세한 내용을 확인할 것을 유도한다.

 

 

[그림 1] Apple을 사칭한 메일 유포[그림 1] Apple을 사칭한 메일 유포

 

 

 

2-3. 실행 과정

사용자가 첨부되어 있는 pdf 파일을 실행하면, 마치 Apple Store 에서 보낸 것처럼 위장하여 주문에 감사하다는 내용과 함께 Apple Watch 정보가 나와있다. 제품을 구매하지 않은 사용자는 아래쪽에 ‘GO TO MY ACCOUNT’ 버튼을 눌러 구매내역을 취소하려고 할 것이다. 해당 버튼을 누르면 피싱사이트 URL 링크로 연결되어 제작자가 만든 피싱사이트로 이동한다.
 

 

[그림 2] 첨부된 pdf 파일 내용[그림 2] 첨부된 pdf 파일 내용

 

 

 

 

 

이 주소를 따라가보면 [그림 3] 과 같이 Apple 홈페이지로 위장한 피싱사이트가 나타나며, 사용자의 애플 계정정보 입력을 유도한다.

 

 

[그림 3] Apple 홈페이지로 위장한 피싱 사이트[그림 3] Apple 홈페이지로 위장한 피싱 사이트

 

 

 

 

 

사용자가 로그인을 하면 [그림 4] 와 같이 구매 취소를 묻는 화면이 나온다. 제품 구매를 하지 않은 사용자는 구매 취소 버튼을 누를 것이다.

 

 

[그림 4] 제품 구매 취소를 묻는 화면[그림 4] 제품 구매 취소를 묻는 화면

 

 

 

 

 

구매 취소 버튼을 누르면 계정 확인을 한다는 이유로 좀 더 자세한 개인정보와 함께 금융정보를 요구한다.

 

[그림 5] 사용자 정보를 요구하는 화면[그림 5] 사용자 정보를 요구하는 화면

 

 

 

 

3. 결론

이번 보고서에서 알아 본 피싱 메일은 제품을 구매하지 않은 사용자에게 제품을 구매한 것처럼 속여, 로그인 후 구매 취소를 유도해서 사용자 정보를 탈취하기 위한 메일이다. 로그인 정보뿐만 아니라 금융 정보를 요구하기 때문에 금전적 손실이 우려되는 만큼 사용자의 주의가 필요하다.

이러한 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 사전에 백신 프로그램을 설치할 것을 권고 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면