유머천국 코하비닷컴
https://cohabe.com/sisa/3631811

성심당이 피싱 사이트 연결된다해서 정적 분석을 간단히 해봤습니다.

블로그 : https://blog.supersu.kr/security/20240503_sungsimdang_naver_phishing_static_analysis




게시글을 읽던 도중 피싱 페이지로 연결된다는 내용을 보고 접속해 보았는데 다음과 같이 내용을 확인했습니다.

블로그에도 해당 내용을 공개했으며, 아래 내용과 동일하게 작성했습니다.




img/24/05/03/18f3ee4d95f35cbf5.png

우선 성심당 홈페이지에 접속하면 특정 js 파일을 호출, 그 안에서 php 사이트로 최종 리디렉션이 되는걸 확인했습니다.

위 리디렉션 호출은, PC 나 모바일 상관없이 인젝션된 특정 가구업체 사이트에 취약점 공격으로 js 파일이 첨부되어있고, 이를 성심당 홈페이지에 인젝션 시켜 리디렉션을 시키고 있는것으로 보입니다.





img/24/05/03/18f3ee561cb35cbf5.png



해당 js 파일을 열어서 확인해보면 특정 쿠키값(sdvbdtrwssss=)이 존재하는지를 확인하고, 없으면 12시간 뒤에 만료되는 쿠키 값을 생성 후, UserAgent 가 "msie 7" 이 아니라면 피싱 페이지로 리디렉션 하도록 되어있습니다.

* 이로써 한번 피싱 페이지로 연결되었다가 닫은 후 다시 성심당 사이트에 방문하면 피싱 페이지로 한동안 연결이 안되는 것 입니다.








img/24/05/03/18f3ee7c80535cbf5.png


최종적으로 표시되는 피싱 페이지에서 사용자가 계정 정보를 입력하면, GET Method 로 특정 의류 업체 홈페이지에 있는 php 파일에 매개변수를 선언해 아이디와 비밀번호 값이 유출 됩니다.








img/24/05/03/18f3ee89d4535cbf5.png



해당 사이트는 indexes 가 활성화 되어있는 보안 취약점이 존재하는 페이지로, 특정 pdf 파일에 사용자가 입력한 ID, 비밀번호, IP, 입력시간대가 저장되는 방식으로 되어있습니다.


이로써 악의적인 공격자가 계정 정보를 탈취하여 추가적인 피해가 발생할 수 있습니다.





이러한 계정 탈취 패턴은 이미 과거부터 많이 유행하는 방식으로 사용자가 정상적이지 않은 URL 을 인지하여 닫으면 특별하게 문제는 발생하지 않으며, 입력한 정보가 있으시다면 비밀번호 변경, OTP 설정등 강력한 보안 설정을 하는것을 권장합니다.

댓글

  • 골드키위
    2024/05/03 23:46

    정보탭으로

    (TAa6oE)


  • 밤끝살이
    2024/05/03 23:55

    오오..분석글 멋져요..
    누군가 뭔가 심어놨다- 까진 이해했습니다...

    (TAa6oE)


  • 나는게임을못한다
    2024/05/03 23:56

    좋은 정보글 추

    (TAa6oE)


  • 육식염소
    2024/05/03 23:56

    도와줘요 정보경찰!

    (TAa6oE)


  • 루리웹-6985157135
    2024/05/03 23:56

    보안추

    (TAa6oE)


  • lestani
    2024/05/03 23:58

    이제 분탕러들이 시진ㅍㅍ이 아이디로 분탕치러 가나?

    (TAa6oE)


  • 方外士
    2024/05/03 23:59

    전문가가 살리네..
    어떤 시벌롬들인지 꼭 잡혔으면

    (TAa6oE)

(TAa6oE)