□ 개요

카카오팀이 발송한 것처럼 위장하여 특정인을 타겟으로 한 악성 피싱메일이 유포되어 국내 사용자들의 주의가 필요하다.​ 

□ 내용

보낸 사람을 확인해보면 'no-reply@kakaocorp.info' 로 카카오 고객센터 주소('noreply@kakaocorp.com')와 유사하여 카카오 고객센터에서 보낸 메일로 착각하기 쉽다. 메일 내용은 해외 지역에서 로그인 되었으니 개인 정보 보호 조치를 요구하는 메일인데 카카오를 연상케 하는 노란색과 발신자명 때문에 수신자가 분간하기 어렵다.

[그림 1] 카카오팀으로 위장한 악성 피싱메일

'해외지역 로그인 차단하러 가기' 버튼을 클릭하면 카카오 계정 로그인 화면이 출력되는데 실제 카카오 로그인 화면과 똑같이 만들어져 있으며, 로그인 ID에 수신자 메일주소가 입력되어 있으며, URL주소 또한 실제 카카오 주소와 유사하다. 

피싱 페이지: accounts---.kakaocop.---

실제 페이지: accounts.kakao.com

[그림 2] 악성 로그인 페이지 (좌) / 정상 로그인 페이지 (우) 

패스워드를 입력하여 로그인을 하면 계정과 패스워드가 BASE64로 인코딩되어 C&C서버로 전송된다. 

[그림 3] 계정과 패스워드 정보 탈취

카카오와 동일한 웹 페이지로 개발하기 위해서 실제 카카오에서 개발한 스크립트에 C&C주소만 하드코딩하여 배포한 것을 확인할 수 있다.

[그림 4] 악성 스크립트 (좌) / 실제 카카오 스크립트 (우) 

□ 바이로봇 업데이트 내역

 - EML.S.Phishing.26998​​ 

 - JS.S.Stealer.38092