20200603 CJ 대한통운 택배 스미싱, 난독화 및 패턴 변경 징조?

Phishing, Smishing

 

스미싱 패턴, 갈수록 난독화 작업을 거쳐…

피해자에게 보내는 패턴은 똑같으나, 보안분석을 어렵게 한 패턴이 특징

 

2020년 06월 03일 최근 CJ대한통운 스미싱 문자를 보내는 것으로 잘 알려져 있는 #MoqHao 스미싱 조직이 최근 형태를 바꿔 분석을 어렵게 하는 난독화 패턴을 적용하였다.

 

아래와 같이 변경된 패턴을 참고하자.

 

 

 

스미싱 문자

20200603 스미싱
20200603 스미싱

 

송장번호 [566******6]미확인입니다 반송처리 하오니 주소 확인

 

이러한 문자 패턴은 과거에도 MoqHao 스미싱 조직이 지속적으로 유포했었던 패턴이다.

 

사이트에 접근하면 User-Agent 를 분석하여 Android / iOS 를 나누는것 까지는 동일한 패턴을 이용하는것을 확인했다.

 

다만, 웹사이트의 패턴이 난독화를 거쳐간점이 특징이다.

 

 

 

난독화된 html

난독화된 html
난독화된 html

 

StringFromCharCode 및 eval 함수를 통한 난독화 과정을 거쳤다.

이 부분에 대해서는 아래 pastebin 링크에 복호화 관련 내용을 작성했다.

 

20200603 MoqHao 스미싱 html 사이트 난독화 원본 및 복호화 정보 : https://pastebin.com/T5j3sQmx

 

 

 

 

악성앱

20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱
20200603 MoqHao 스미싱 악성앱

 

Virustotal : https://www.virustotal.com/gui/file/af10aaa85770ce430409fa25e25656ff5dfae152e50151c60324c8f38c35eb16/detection

 

 

최근 스미싱은 CJ 대한통운에서 Chrome 으로 다시 되돌아온것을 확인할 수 있었다.

 

 

 

사용자 주의사항

  1. 출처를 알 수 없는 문자의 링크는 함부로 방문하지 않는다.
  2. 최근에 실제로 택배를 시킨적이 있는지 확인해보고 의심가는 경우 접근하지 않도록 주의한다.

 

 

참고

다양한 형태의 문자로 수신되는 택배 배송 관련 스미싱 문자 주의! (20200601 UPDATE)