​
　

최근, 안랩 ASEC이 탐지한 DHL 사칭 악성 메일은 발신자가 ‘DHL Korea’이며, 한국어를 사용한 점을 볼 때 국내 사용자를 대상으로 유포한 것임을 알 수 있다. 메일 본문에 첨부된 링크는 드롭박스(Dropbox) 링크로 연결되며, 악성 HTML 파일을 다운로드하도록 유도한다.

​
[그림 1] DHL Korea 사칭 이메일

HTML 파일을 다운로드 해 실행하면, 배송 확인을 위해 이메일, 비밀번호 등을 입력해 로그인을 유도하는 내용의 브라우저 알림창이 나타난다. 알림창이 닫히면 DHL을 사칭한 피싱 페이지의 로그인 화면을 마주하게 된다. 이 웹페이지에서 로그인을 진행하면 공격자 서버로 정보가 유출된다. 계정 정보를 공격자 서버로 전송한 후에는 송장 이미지를 포함하고 있는 페이지로 바로 연결되기 때문에 사용자는 계정 정보 탈취 여부를 인지하기 어렵다.
　

[그림 2] DHL Korea 사칭 피싱 사이트 로그인 화면

해당 악성 메일은 DHL의 이미지와 ‘배송 실패’, ‘배송 조회’ 등 일상에서 친숙하게 접하는 단어들을 사용하기 때문에 사용자들이 피해를 입을 가능성이 높다. 또한, 최근 들어 배송뿐 아니라 여러 기업과 기관을 사칭하는 악성 메일 유포가 늘고 있어 이메일에 관한 사용자들의 각별한 주의가 요구된다. 출처가 불분명한 이메일 수신 시 열람에 주의가 필요하며 URL과 첨부파일 실행은 지양해야 한다.

현재 V3 제품에서는 악성 HTML 파일 다운로드시 아래의 이미지와 진단명으로 탐지하고 있다.
　

[그림 3] V3 HTML 파일 차단

[파일 진단]
Phishing/HTML.Generic.S1156 (2020.04.03.09)


DHL 사칭 악성 메일에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.

▶ASEC 블로그 바로가기
　

[출처 : 안랩(((www.ahnlab.com)]