Группа анализа ASEC недавно обнаружила, что было создано несколько вредоносных доменов, нацеленных на обычные веб-сайты финансового сектора.
С начала ноября ASEC обнаружили несколько случаев распространения фишинговых писем, выдающих себя за Naver Help. В них мы отслеживали вредоносный URL-адрес, который был включен в эти письма.
Имя пользователя отправителя было "Naver Center", а письма содержали разнообразные темы для обмана пользователей, включая уведомления об изменении контактных данных, создании нового одноразового пароля, входе в систему из незнакомых мест, полном сохранении почты и блокировании попыток доступа.
При нажатии на кнопку "Проверить номер телефона" открывается фальшивая страница входа в систему Naver, и когда учетные данные вводятся на этой странице, начинается типичная фишинговая атака, в ходе которой учетные данные перенаправляются на страницу, указанную субъектом угрозы.
Следует отметить, что в качестве домена верхнего уровня был использован n-e.kr, поскольку в прошлом лаборатория AhnLab выявила домен с аналогичным форматом, используемый в C2 группы Kimsuky.
Вредоносное приложение маскируется под финансовые учреждения и включает функцию, при которой, если устройство с установленным приложением совершает звонок на определенный номер, исходящий звонок перехватывается и перенаправляется на номер, указанный злоумышленником. Когда приложение открывается, оно заставляет пользователя загрузить и установить приложение, замаскированное под "V3 mobile plus", которое содержит вредоносные функции.
Поскольку с помощью таких хитрых методов пользователи могут попасть на вредоносные URL-адреса, используя фишинговые письма, пользователи должны воздерживаться от открытия писем или текстовых сообщений из неизвестных источников.
Антивирусный продукт АнЛаб, V3, обнаруживает и блокирует указанные ниже домены как фишинговые сайты.
Indicators of Compromise
URLs
- http://conf.simpleedit.n-e.kr
- http://dashboard.quikveoriy.o-r.kr
- http://digital.pepperbank.kro.kr
- http://foward.viewpropile.p-e.kr
- http://heungkukfire.p-e.kr
- http://inglife.kro.kr
- http://kakaosaving.kro.kr
- http://kamco.kbloan.kro.kr
- http://kamco.kbloan.r-e.kr
- http://kamco.webs.kro.kr
- http://kbank.o-r.kr
- http://k-bank.o-r.kr
- http://k-bank1.kro.kr
- http://naver.kro.kr
- http://naver.o-r.kr
- http://naver65.n-e.kr
- http://nhlife.kro.kr
- http://shinhanbank.kro.kr
- http://smartshinhan.kro.kr
- http://tos.p-e.kr
- http://wvw1.user2list.kro.kr
- http://wvw3.secure-edit.n-e.kr
- http://wwv3.supports.o-r.kr
- http://www1.quickedit.o-r.kr
- http://www2.configment.p-e.kr