국내 유명 포탈 로그인 페이지로 위장한 피싱 사례 분석 - ASEC BLOG 관련 IOC 1개 발견
AhnLab SEcurity intelligence Center(ASEC)는 최근 국내 유명 포탈 N사의 로그인 페이지로 위장한 피싱 사례를 분석하여 일부 정보를 확보하였다. 가짜 로그인 페이지는 실제 N사의 로그인 페이지와 매우 흡사하며, 육안으로 구분하기 어려웠다. 입력한 로그인 정보는 공격자가 설정한 C2서버로 전송되며, 공격자에게 전송되는 로그인 정보를 처리하는 PHP 코드를 획득하는데 성공했다. 공격자는 패킷에 포함된 로그인 정보와 Client 정보를 수집하고, 정규표현식을 활용하여 Client측의 OS 정보와 브라우저 환경을 파악한다.
AhnLab SEcurity intelligence Center(ASEC)는 국내 유명 포탈 N사의 로그인 페이지로 위장한 피싱 사례를 분석해 일부 정보를 확보했다. 가짜 로그인 페이지는 실제 N사의 로그인 페이지와 매우 흡사하며, 패킷에 포함된 로그인 정보와 Client 정보를 수집하고, 정규표현식을 활용하여 Client측의 OS 정보와 브라우저 환경을 파악한다.
Ahnlab
Analysis of phishing case disguised as a famous portal login page in Korea -ASEC Blog
Ahnlab Security Intelligence Center (ASEC) recently secured some information by analyzing phishing cases disguised as a login page of famous portal N.The fake login page was very similar to the login page of the N company, and it was difficult to distinguish with the naked eye.The login information entered is transmitted to the C2 server set by the attacker and succeeded in obtaining a PHP code that processes the login information sent to the attacker.The attacker collects login information and client information included in the packet, and uses regular expressions to identify the OS information and browser environment of the Client side.
Ahnlab Security Intelligence Center (ASEC) has secured some information by analyzing phishing cases disguised as a login page of famous portal N.The fake login page is very similar to the login page of the N company, and collects the login information and client information included in the packet, and uses the regular expression to identify the OS information and browser environment of the Client side.
https://asec.ahnlab.com/ko/60952/