Фишинговые атаки, выдающие себя за известные корейские банковские приложения

phishing IOC

Группа анализа ASEC недавно обнаружила, что было создано несколько вредоносных доменов, нацеленных на обычные веб-сайты финансового сектора.

С начала ноября ASEC обнаружили несколько случаев распространения фишинговых писем, выдающих себя за Naver Help. В них мы отслеживали вредоносный URL-адрес, который был включен в эти письма.

Имя пользователя отправителя было "Naver Center", а письма содержали разнообразные темы для обмана пользователей, включая уведомления об изменении контактных данных, создании нового одноразового пароля, входе в систему из незнакомых мест, полном сохранении почты и блокировании попыток доступа.

При нажатии на кнопку "Проверить номер телефона" открывается фальшивая страница входа в систему Naver, и когда учетные данные вводятся на этой странице, начинается типичная фишинговая атака, в ходе которой учетные данные перенаправляются на страницу, указанную субъектом угрозы.

Следует отметить, что в качестве домена верхнего уровня был использован n-e.kr, поскольку в прошлом лаборатория AhnLab выявила домен с аналогичным форматом, используемый в C2 группы Kimsuky.

Вредоносное приложение маскируется под финансовые учреждения и включает функцию, при которой, если устройство с установленным приложением совершает звонок на определенный номер, исходящий звонок перехватывается и перенаправляется на номер, указанный злоумышленником. Когда приложение открывается, оно заставляет пользователя загрузить и установить приложение, замаскированное под "V3 mobile plus", которое содержит вредоносные функции.

Поскольку с помощью таких хитрых методов пользователи могут попасть на вредоносные URL-адреса, используя фишинговые письма, пользователи должны воздерживаться от открытия писем или текстовых сообщений из неизвестных источников.

Антивирусный продукт АнЛаб, V3, обнаруживает и блокирует указанные ниже домены как фишинговые сайты.

Indicators of Compromise

URLs

  • http://conf.simpleedit.n-e.kr
  • http://dashboard.quikveoriy.o-r.kr
  • http://digital.pepperbank.kro.kr
  • http://foward.viewpropile.p-e.kr
  • http://heungkukfire.p-e.kr
  • http://inglife.kro.kr
  • http://kakaosaving.kro.kr
  • http://kamco.kbloan.kro.kr
  • http://kamco.kbloan.r-e.kr
  • http://kamco.webs.kro.kr
  • http://kbank.o-r.kr
  • http://k-bank.o-r.kr
  • http://k-bank1.kro.kr
  • http://naver.kro.kr
  • http://naver.o-r.kr
  • http://naver65.n-e.kr
  • http://nhlife.kro.kr
  • http://shinhanbank.kro.kr
  • http://smartshinhan.kro.kr
  • http://tos.p-e.kr
  • http://wvw1.user2list.kro.kr
  • http://wvw3.secure-edit.n-e.kr
  • http://wwv3.supports.o-r.kr
  • http://www1.quickedit.o-r.kr
  • http://www2.configment.p-e.kr
SEC-1275-1
Добавить комментарий