에코프로(Ecopro) 담당자를 노린 스피어 피싱메일

 
안녕하세요 처리의 블로그입니다.

요즘 핫한 주식이라고 하면 역시나 배터리 소재 전문기업 에코프로가 빠질 수 없는데요.
2023-07-10일 기준 장 초반 주당 100만원 돌파, 96만원대로 마감했다고 하네요.

에코프로 주식 화면

저는 주식을 잘 모르는 사람이지만, 주변지인들의 이야기를 들었을 때가 20만원대였는데 벌써 100만원 가까이 
가다니 대단한 기업이네요!!

암튼, 이렇게 핫한 에코프로 업체의 담당자를 노린 스피어 피싱메일이 확인되어서 간단하게 분석해보려고 합니다.

해당 메일은 2023년 7월 9일에 발견 된 메일이며, FedEx Express Shipping Documents 제목으로 전달 되었습니다.
수신자는 xxxxxx@ecoproem.co.kr 로 검색엔진에는 나오지 않는데 에코프로에서 근무하시는 분인것 같네요.

스피어 피싱 메일 화면

본문내용은 그냥 뭐 사후납부통관 세금 안내로 위장되어 있습니다.

안녕하세요, xxxxxx@ecoproem.co.kr

사후납부통관 세금 안내입니다.

페덱스코리아는 고객님의 편의를 위하여 납부하실 세액이 당사에서 정한 범위 안에 있을 경우 
세금납부 전에 먼저 물품을 배송해 드리는 납세 전 배송서비스(사후납부통관)를 제공하고 있습니다.
고객님께서는 첨부된 파일을 참조하시어 명시된 기한 내에 세금을 납부하여 주시기 바랍니다.

기타 자세한 내용은 첨부된 안내문을 참조해 주시기 바랍니다.

감사합니다.

 

해당 메일에는 "INVOICE-PACKING LIST-PDF.htm" 첨부파일이 있는데, 이걸 다운로드 후 실행하면 이렇게 
FedEx Express으로 위장 된 페이지가 나오며 소스코드를 보면 패스워드 입력 후 특정 서버로 로그인 정보를 전달하는 것을 볼 수 있습니다.

피싱 페이지 화면

실제로 수신메일을 조금 수정하여 보내봤는데, 이런식으로 전달이 되고 있습니다.
(개인정보 전달 서버 : hxxps://formspree.io/f/myyazkbv)

개인정보가 전달되는 네트워크 화면

 
개인정보가 수집 되는 서버는 현재 바이러스토탈에서 아래와 같이 탐지되고 있네요.

바이러스토탈 탐지 결과 화면